ウェズリー・ヒリアード
· 1分で読めます
Bingモバイルアプリが数百万のユーザーデータを漏洩
オープンサーバーからテラバイト単位のユーザー情報が盗まれたため、iOS や iPadOS を含むすべてのプラットフォーム上の Bing モバイル アプリ ユーザーが危険にさらされています。
BingはMicrosoftが所有する検索エンジンであり、iOSおよびAndroid向けモバイルアプリに関連するデータが公開サーバーで発見されました。サーバーには6.5TBを超えるデータが保存されており、発見時には1日あたり200GBずつ増加していました。
ホワイトハットハッカーグループのWizCaseは9月12日に、このオープンサーバーを発見しました。同グループによると、このサーバーは9月10日までは保護されていました。サーバーの所有者が発見された後、マイクロソフトは9月13日に警告を受けました。オープンサーバーは9月16日にマイクロソフトセキュリティレスポンスセンターによって保護されました。
WizCaseは、オープンウィンドウ中にデータの流出とそれに続くデータに対する「Meow」攻撃を特定しました。Meow攻撃とは、オープンサーバーへの自動攻撃で、サーバー内のデータの大部分または全部を削除することを目的としています。このMeow攻撃では、データベースのほぼ全体が削除されました。
9 月 14 日に 2 度目の Meow 攻撃がサーバーを襲った時点で、悪意のある人物によって 1 億件近くのレコードが収集されていました。サーバーが稼働中はさまざまなタイプのハッカーがデータにアクセスできたため、データの多くまたはすべてが収集された可能性があります。
これはユーザーにとって何を意味するのでしょうか?
テラバイト単位のユーザーデータが詰まった公開サーバーは、悪意のあるハッカーにとって宝の山です。サーバーに含まれていたデータには、次のようなものがありました。
- プレーンテキスト検索用語
- 位置情報が有効になっているユーザーの位置座標
- 正確な捜索時間
- Firebase 通知トークン
- 結果条件のクーポンデータ
- 検索結果内でアクセスされたURLの部分的なリスト
- デバイスモデル
- ユーザーのデバイスのデバイスID、デバイスハッシュ、およびADID
このデータベースは、検索クエリや位置情報に基づいて特定のユーザーを特定するために検索することができ、詐欺、恐喝、フィッシング、あるいは身体的脅迫につながる可能性があります。WizCaseのチームは、児童ポルノ、武器、あるいは特定の集団を攻撃するための場所を検索した特定のユーザーを特定することに成功しました。
6日間の猶予期間中に、誰でもサーバーのコンテンツをダウンロードできた可能性があります。インターネット上の攻撃者は、このサーバーにデータが存在するモバイルアプリを使用しているすべての人を標的にする可能性があります。身を守るために、不審なメールを開かないようにし、ユーザーデータを収集しないDuckDuckGoなどの代替検索エンジンを使用してください。
