知名搜索引擎数据库泄露,你搜过的敏感内容可能曝光了!

Posted 网络安全编程与黑客程序员

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了知名搜索引擎数据库泄露,你搜过的敏感内容可能曝光了!相关的知识,希望对你有一定的参考价值。

来自 | GitHub科技
近日,网络安全网站Wizcase发现了一个不受保护的Elastic服务器,其中包含了与微软旗下Bing移动应用用户相关的TB级数据,包括ios和iPadOS在内的每个平台上的Bing移动应用程序用户都面临风险。

据悉,正常情况下,该数据库应有密码保护。

然而,WizCase团队发现,该服务器于9月10日左右受到Meow攻击而丧失密码保护,身份验证被移除,其内容直接暴露给互联网上的所有人。

也就是说,它可能已经将Bing移动版应用的数据库泄露出去,这将导致1亿条搜索结果被截获。


白帽黑客Ata Hakcil发现了这一漏洞,并通过安装应用程序并对WizCase进行搜索,确认了Elasticsearch服务器属于微软的Bing移动应用。

“在那个暴露的服务器中,我发现了自己的个人资料,包括搜索查询、设备详细信息和GPS定位,这些数据均泄露于Bing的移动版应用。”他透露。

据了解,该服务器中拥有超过6.5TB的数据,而且每天增长200GB。

从搜索数据来看,涉及全球70多个国家和地区的用户都处于潜在危险之中。

知名搜索引擎数据库泄露,你搜过的敏感内容可能曝光了!

除此之外,该服务器泄露的数据还包括明文搜索词、执行搜索的确切时间、位置坐标、用户从搜索结果中访问过的URL地址、设备型号、操作系统以及分配给每个用户的3个独立ID等。

“基于如此庞大的数据,我们可以有把握地推测,在服务器被曝光后,任何使用手机应用程序Bing进行搜索的人都处于风险之中。”Wizcase团队称。

目前,在谷歌和苹果的应用商店中,均能下载和使用Bing移动应用程序。

该APP仅在谷歌Play上就有超过1000万的下载量,每天记录的搜索次数达数百万次。

据悉,Wizcase于9月13日向微软报告了这个发现,微软已在9月16日给这个服务器加上了密码。

然而,在被曝光的时间范围内,数据库至少被Meow攻击了两次,攻击者几乎删除了整个数据库。


虽然泄露的数据库中没有泄露姓名等个人隐私信息,但泄露的数据仍然可能会被攻击者利用来发起进一步的攻击:

1、勒索或恐吓。如果有用户搜索了成人内容或其他敏感信息,攻击者可能会利用这些泄露的数据可以找出用户的真实身份,并利用搜索内容对其进行勒索或恐吓。

此前,国内就有不少网友发帖称,自己收到过一些勒索邮件,黑客声称掌握了自己在成人网站的浏览记录,并威胁要发送给周围认识的人。

2、钓鱼。如果黑客知道某个用户正在搜索哪些特定的内容,那么就可以根据用户搜索历史内容进行精准钓鱼活动,通过钓鱼垃圾邮件的方式来攻击用户。

如果大家近期收到此类邮件,请谨慎点击链接。

版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。谢谢!


↑↑↑长按图片 识别二维码 关註↑↑↑

以上是关于知名搜索引擎数据库泄露,你搜过的敏感内容可能曝光了!的主要内容,如果未能解决你的问题,请参考以下文章

为什么用同样的搜索引擎,你搜到的内容完全不是你想要的结果呢?

EA对勒索无动于衷,黑客曝光全部数据!

EA对勒索无动于衷,黑客曝光全部数据!

Salesforce REST API 如何避免在查询参数中泄露敏感数据

还有这操作!你搜的羞羞网站,谷歌都截图保存了;黑客分分钟越狱Apple Watch;TypeScript 2.4.2发布

将 JsonRequestBehavior 设置为 AllowGet 时可能会泄露哪些“敏感信息”