セキュリティ研究者チームが、Microsoft所有のサーバー上でBingユーザーデータが流出していることを発見しました。このデータはiOS版とAndroid版の両方のBingアプリから取得されたものです。流出したデータには、固有のユーザーID、検索クエリ、位置情報、さらには検索の結果としてアクセスしたウェブページなどが含まれています。
セキュリティサイトWizCaseがこの件を発見した。WizCaseによると、データベースは当初パスワードで保護されていたが、9月10日から16日の間、保護が解除されていたという。
ホワイトハットハッカーのアタ・ハクシル氏が率いるWizCaseオンラインセキュリティチームは、Google PlayとApp Storeの両方で入手可能なBingモバイルアプリに関連するデータを記録したMicrosoft所有のサーバーで大規模なデータ漏洩を発見した。
調査の結果、Microsoft Bingアプリがハクシル氏の手に渡り、ハクシル氏はアプリをダウンロードして「Wizcase」で検索し、自身の調査結果を裏付けました。サーバー内を調べていたところ、検索クエリ、デバイスの詳細、GPS座標などの情報を発見し、漏洩したデータがBingモバイルアプリから直接取得されたものであることを証明しました。
公開された Bing ユーザー データの量は驚くべきものです。
- プライベートモードで入力されたものを除く、クリアテキストでの検索用語
- 位置情報:アプリで位置情報の利用許可が有効になっている場合、データセットには500メートル以内の正確な位置情報が含まれています。表示される座標は正確ではありませんが、ユーザーの所在地の比較的狭い範囲を示しています。この座標をGoogleマップにコピーするだけで、携帯電話の所有者を特定できる可能性があります。
- 検索が実行された正確な時刻。
- Firebase 通知トークン
- クーポンコードがコピーされたときやアプリによって自動的に適用されたときのタイムスタンプや、クーポンコードがコピーされたURLなどのクーポンデータ
- 検索結果からユーザーがアクセスしたURLの一部リスト
- デバイス(携帯電話またはタブレット)モデル
- オペレーティング·システム
- データ内の各ユーザーに割り当てられた3つの個別の固有ID番号
- ADID: Microsoft アカウントの一意の ID のようです
- デバイスID
- デバイスハッシュ
データベース内で児童性的虐待画像の検索が見つかりました。
研究チームは、児童ポルノを探している犯罪者が入力した検索クエリと、検索後に訪問したウェブサイトを確認することができた。
WizCaseは9月13日にマイクロソフトに侵害を報告したが、このテクノロジー大手は9月16日までデータを保護できなかった。
研究者らは、Bing アプリへの GPS 位置情報の許可を拒否し、検索を行う際には VPN を使用することを推奨しています。
unbeatabler.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
