En The Hack hemos hablado mucho sobre los riesgos de configurar mal los entornos de nube: nuestra categoría Fugas está lleno de ejemplos de lo que puede salir mal cuando se descuidan las herramientas de computación en nube y SaaS. Ahora, sin embargo, tenemos una prueba para que cualquiera pueda desertar: incluso Microsoft terminó cometiendo un desliz y dejar expuesto un servidor con no menos de 6,5 TB de datos.
El entorno en cuestión fue una instalación pública de Elasticsearch y registró información de los usuarios de la aplicación móvil del motor de búsqueda Bing. Quien identificó la filtración fue el equipo de investigadores de WizCase, quienes confirmaron la propiedad del servidor al realizar búsquedas aleatorias en Bing en un teléfono inteligente y ver que tales búsquedas aparecen en el entorno en tiempo real. El servidor creció 200 GB todos los días.
Los datos filtrados son variados: tenemos los términos de búsqueda en texto plano, coordenadas de ubicación geográfica (si esta función ha sido activada en la configuración por el usuario), tiempo de búsqueda, lista parcial de URL visitadas por los resultados, modelo de dispositivo, sistema operativo y tres identificadores internos (ID) que la propia Microsoft parece asignar a cada usuario de la herramienta.
Lo más extraño es que, según el equipo de WizCase, el servidor estuvo protegido hasta el 10 de septiembre, cuando se eliminó misteriosamente su autenticación. La filtración se identificó poco después, y el día 13, se notificó a Microsoft, que respondió de inmediato a los investigadores. La avería se resolvió el día 16, pero la empresa no se pronunció sobre lo sucedido.
Altamente sensible
Estamos hablando de un incidente muy delicado, ya que, con un cruce básico de los datos filtrados, sería posible descubrir la identidad de quienes realizaron alguna búsqueda en Bing. El equipo de analistas, por el momento, ha encontrado una serie de encuestas inquietantes, tanto ilegales como como la pornografía infantil y el tráfico de armas, como legal, pero de naturaleza muy íntima.
“Como hackers éticos, no tenemos los recursos para identificar a estas personas y entregarlas a las autoridades. Sin embargo, este descubrimiento reveló cuántos depredadores y personas peligrosas están utilizando los motores de búsqueda para encontrar a sus próximas víctimas y qué sitios web están visitando”, dice. WizCase.
Fuente: WizCase
See the original post at: https://thehack.com.br/microsoft-deixa-vazar-dados-de-quase-todos-os-usuarios-do-bing-para-smartphones/?rand=48889
