A Microsoft deixa dados do Bing sem proteção

O servidor foi descoberto por Ata Hakcil, pesquisador de segurança da  WizCase , que compartilhou exclusivamente  suas descobertas  com a  ZDNet  na semana passada.

De acordo com a investigação de Hakcil, acredita-se que o servidor tenha exposto mais de 6,5 TB de arquivos de log contendo 13 bilhões de registros provenientes do mecanismo de busca Bing.

O pesquisador do Wizcase foi capaz de verificar suas descobertas localizando consultas de pesquisa que ele realizou no aplicativo Bing Android nos logs do servidor.

Hakcil disse que o servidor foi exposto online de 10 a 16 de setembro, quando notificou o Microsoft Security Response Center (MSRC), e que o servidor foi protegido novamente com uma senha.

Solicitada a comentar na semana passada, a Microsoft admitiu o erro.

“Corrigimos uma configuração incorreta que causou a exposição de uma pequena quantidade de dados de consulta de pesquisa”, disse um porta-voz da Microsoft à ZDNet por e-mail na semana passada.

“Após a análise, determinamos que os dados expostos eram limitados e não identificados.”

O ZDNet , que recebeu acesso ao servidor enquanto estava exposto online sem uma senha, pode confirmar que  nenhuma informação pessoal do usuário foi exposta .

Em vez disso, o servidor expôs detalhes técnicos, como consultas de pesquisa, detalhes sobre o sistema do usuário (dispositivo, sistema operacional, navegador, etc.), detalhes de localização geográfica (quando disponível) e vários tokens, hashes e códigos de cupom.

O servidor com vazamento foi identificado como um sistema Elasticsearch. Os servidores Elasticsearch são sistemas de alto nível onde as empresas agregam grandes quantidades de dados para pesquisar e filtrar facilmente bilhões de registros.

Ao longo dos últimos quatro anos, os servidores Elasticsearch frequentemente foram a origem de muitos vazamentos acidentais de dados.

Os motivos variam e podem variar de administradores que se esquecem de definir uma senha; firewalls ou sistemas VPN caindo repentinamente e expondo os servidores normalmente internos de uma empresa; ou empresas que copiam dados de produção para sistemas de teste que nem sempre são protegidos de forma tão completa quanto sua infraestrutura primária.

Fonte: https://www.zdnet.com/article/microsoft-secures-backend-server-that-leaked-bing-data