公开的Microsoft Bing服务器泄漏了6.5TB的搜索查询和设备详细信息

微软拥有的服务器被设置为记录与Android和iOS的Microsoft Bing移动应用程序相关的数据，这些应用程序在移动设备上的下载量已超过一千万次。即使日志中不包含Bing用户的名称或地址，未受保护的Elastic服务器也包含大量信息，很容易被黑客滥用。

在不受保护的数据库中，由白帽黑客Ata Hakcil领导的WizCase在线安全小组发现了诸如纯文本中的搜索查询，用户的精确位置坐标，Firebase通知令牌，代码以及设备信息（例如型号，操作）等信息。系统，以及分配给每个用户的唯一ID号。

该安全公司观察到，直到9月10日（由于未知原因而删除身份验证）之前，Microsoft Bing服务器都受到密码的保护。禁用服务器的公共访问保护后，公司仅花了两天时间就发现了该服务器。

未受保护的Bing数据库包含价值6.5TB的搜索查询和设备信息

在发现之时，该服务器包含6.5 TB的数据，并且由于每天从Microsoft Bing移动应用程序连续记录的大量数据而正在增长约200 GB。WizCase与团队联系后的三天内，该服务器已由Microsoft安全响应中心保护。但是，这并不能阻止黑客对公开服务器进行多次攻击。

“从我们看到的情况来看，在9月10日至12日之间，该服务器受到Meow攻击，该攻击几乎删除了整个数据库。当我们在12日发现该服务器时，自攻击以来已收集了1亿条记录。 9月14日对服务器发出喵叫攻击。

该公司在博客文章中说：“除了喵喵黑客外，这些数据还暴露给所有类型的黑客和骗子。这可能导致对Bing移动应用程序用户的各种攻击。”

例如，犯罪分子可以使用精确的地理位置坐标以及服务器日志中可用的搜索查询来跟踪用户并确定他们的兴趣，网络欺诈者可以查看用户的兴趣和购买偏好以利用网络钓鱼电子邮件作为目标，而黑客也可能勒索用户在获得有关其政治观点或令人尴尬的个人详细信息的数据之后。

“如果您使用Bing移动应用程序，则在打开来自未知发件人的电子邮件时应格外小心。即使公开数据中未包含用户的电子邮件地址，也有足够的用户数据供黑客用来查找某人的身份， ” WizCase说。

该公司表示：“一旦有了他们的姓名，地址和工作地点，获得电子邮件地址就没有那么困难了。通常，永远不要单击非可靠来源的链接。”用户应关闭Bing移动应用上的GPS权限，以防止其位置被跟踪。

微软也错误地配置了巨大的客户支持数据库

这不是安全研究人员第一次发掘出一个不受保护的Microsoft数据库，该数据库包含大量可能被黑客滥用的信息。去年12月，安全研究员鲍勃·迪亚琴科（Bob Diachenko）发现了一个配置错误的Microsoft数据库，其中包含超过2.5亿条与客户和Microsoft支持代理之间的对话有关的记录。具有Internet连接的任何人都可以访问该数据库。

Diachenko于12月29日发现配置错误的Microsoft数据库，一天后，BinaryEdge搜索引擎对其进行了索引，该引擎扫描了Web上的公共Internet数据。获悉此暴露后，Microsoft于12月31日关闭了对该数据库的公共访问。

存储在未受保护的ElasticSearch数据库中的2.5亿条记录包含大量信息，例如客户的电子邮件地址，IP地址，客户的位置，机密内部注释，案例编号，解决方案和备注，Microsoft支持代理电子邮件以及CSS声明说明和案件。

“我们的调查已确定，2019年12月5日对数据库的网络安全组所做的更改包含配置错误的安全规则，这些规则使数据可以公开。在收到问题通知后，工程师于2019年12月31日对配置进行了修复，以限制数据库并防止未经授权的访问。”微软在博客中表示，强调配置错误仅限于该特定数据库。