知名搜索引擎数据库泄露，你搜过的敏感内容可能曝光了！

Posted 2021-04-24 网络安全编程与黑客程序员

来自 | GitHub科技

近日，网络安全网站Wizcase发现了一个不受保护的Elastic服务器，其中包含了与微软旗下Bing移动应用用户相关的TB级数据，包括ios和iPadOS在内的每个平台上的Bing移动应用程序用户都面临风险。

据悉，正常情况下，该数据库应有密码保护。

然而，WizCase团队发现，该服务器于9月10日左右受到Meow攻击而丧失密码保护，身份验证被移除，其内容直接暴露给互联网上的所有人。

也就是说，它可能已经将Bing移动版应用的数据库泄露出去，这将导致1亿条搜索结果被截获。

白帽黑客Ata Hakcil发现了这一漏洞，并通过安装应用程序并对WizCase进行搜索，确认了Elasticsearch服务器属于微软的Bing移动应用。

“在那个暴露的服务器中，我发现了自己的个人资料，包括搜索查询、设备详细信息和GPS定位，这些数据均泄露于Bing的移动版应用。”他透露。

据了解，该服务器中拥有超过6.5TB的数据，而且每天增长200GB。

从搜索数据来看，涉及全球70多个国家和地区的用户都处于潜在危险之中。

除此之外，该服务器泄露的数据还包括明文搜索词、执行搜索的确切时间、位置坐标、用户从搜索结果中访问过的URL地址、设备型号、操作系统以及分配给每个用户的3个独立ID等。

“基于如此庞大的数据，我们可以有把握地推测，在服务器被曝光后，任何使用手机应用程序Bing进行搜索的人都处于风险之中。”Wizcase团队称。

目前，在谷歌和苹果的应用商店中，均能下载和使用Bing移动应用程序。

该APP仅在谷歌Play上就有超过1000万的下载量，每天记录的搜索次数达数百万次。

据悉，Wizcase于9月13日向微软报告了这个发现，微软已在9月16日给这个服务器加上了密码。

然而，在被曝光的时间范围内，数据库至少被Meow攻击了两次，攻击者几乎删除了整个数据库。

虽然泄露的数据库中没有泄露姓名等个人隐私信息，但泄露的数据仍然可能会被攻击者利用来发起进一步的攻击：

1、勒索或恐吓。如果有用户搜索了成人内容或其他敏感信息，攻击者可能会利用这些泄露的数据可以找出用户的真实身份，并利用搜索内容对其进行勒索或恐吓。

此前，国内就有不少网友发帖称，自己收到过一些勒索邮件，黑客声称掌握了自己在成人网站的浏览记录，并威胁要发送给周围认识的人。

2、钓鱼。如果黑客知道某个用户正在搜索哪些特定的内容，那么就可以根据用户搜索历史内容进行精准钓鱼活动，通过钓鱼垃圾邮件的方式来攻击用户。

如果大家近期收到此类邮件，请谨慎点击链接。

版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。谢谢!


 
   
   
 

  
    
    
  
 
   
   
 
 
   
   
 

  
    
    
  
 
   
 
    
 
     
 
      ↑↑↑长按图片 
      识别二维码 
      关註↑↑↑