點擊上方“JAVA”，星標公眾號

重磅干貨，第一時間送達

導讀：據(jù)外媒報道，包括iOS和iPadOS在內(nèi)的所有平臺上的Bing移動應用用戶都面臨著風險，因為來自開放服務器的TB級用戶信息被竊取。Bing是微軟旗下的搜索引擎，iOS和Android版手機應用的相關數(shù)據(jù)已經(jīng)在一個開放的服務器中被發(fā)現(xiàn)。據(jù)悉，該服務器擁有超6.5TB的數(shù)據(jù)并且在被發(fā)現(xiàn)后每天還在增長200GB的數(shù)據(jù)。

WizCase安全團隊發(fā)現(xiàn)記錄Bing移動應用程序數(shù)據(jù)的微軟擁有的一臺服務器泄露了大量數(shù)據(jù)。安全團隊發(fā)現(xiàn)，數(shù)據(jù)是通過一臺未做好安全工作的ElasticSearch服務器泄露出去的。

該研究團隊由白帽黑客Ata Hackil領導，他認為這臺未做好安全工作的服務器允許第三方獲取重要的敏感數(shù)據(jù)，比如搜索查詢。

Bing移動應用程序在谷歌和蘋果的應用商店中均能找到。它在谷歌Play Store上的下載量超過了10000000人次，每天通過它執(zhí)行的搜索多達數(shù)百萬次。

WizCase的研究團隊在互聯(lián)網(wǎng)上搜索敞開的數(shù)據(jù)庫或服務器時發(fā)現(xiàn)了該數(shù)據(jù)庫，并找到了一臺未加保護的ElasticSearch服務器，這臺服務器負責記錄明文格式的搜索查詢詞、位置坐標和設備詳細信息。

該服務器還顯示了執(zhí)行搜索查詢的確切時間、設備型號、Firebase通知令牌（讓開發(fā)人員可以將通知發(fā)送到某個特定設備）、用戶從搜索結(jié)果中選擇訪問的URL列表以及優(yōu)惠券數(shù)據(jù)（包括復制代碼時的信息）。

另外，泄露的數(shù)據(jù)中有一部分是獨特的ID號（比如ADID、Devicehash和DeviceID）以及操作系統(tǒng)數(shù)據(jù)。

泄露數(shù)據(jù)的那臺服務器記錄的用戶信息（圖片來源：Wizcase）

此外研究人員發(fā)現(xiàn)，如果用戶在Bing應用程序上啟用了位置許可權(quán)限，該服務器泄露了距離500米內(nèi)的精確的位置數(shù)據(jù)。研究人員聲稱，雖然泄露的坐標并不準確，但可以給出用戶位置的大致參數(shù)。

研究人員在博客中寫道：“只需將它們復制到谷歌地圖上，就有可能使用它們追溯到手機的所有者。”

好消息是，Bing搜索引擎移動應用程序用戶的個人數(shù)據(jù)（比如姓名）并沒有泄露出去。此外，私密模式下輸入查詢的用戶未受到影響。

然而，WizCase的研究人員認為，泄露的任何數(shù)據(jù)都足以使不法分子進行網(wǎng)絡釣魚詐騙、勒索攻擊及其他種類的惡意活動。他們只需要將用戶身份與位置數(shù)據(jù)和搜索查詢關聯(lián)起來。

服務器記錄的一些可怕的搜索查詢包括用戶搜索虐待兒童的內(nèi)容。（圖片來源：Wizcase）

此外，攻擊者可根據(jù)搜索查詢數(shù)據(jù)，了解用戶的日常活動以及他們是否擁有現(xiàn)金或貴重物品。這些信息會帶來搶劫的風險。

研究人員特別指出：“比如說，要是有人搜索在哪里可以買到貴重物品或貴重物品貯藏方面的指示，攻擊者可能會準備好竊取這類物品?！?/span>

Bing的移動應用程序版存儲在一臺容量多達6.5TB的服務器上，研究人員認為該服務器在9月10日之前受密碼保護。9月12日，他們發(fā)現(xiàn)該服務器未受保護，次日他們將該問題告知了微軟。到9月16日，該服務器已做好了安全工作。

WizCase的研究人員Chase Williams表示，他們并沒有計算到底有多少用戶受到此泄露事件的影響，不過推測可能為數(shù)眾多。

Williams寫道：“從數(shù)據(jù)的絕對數(shù)據(jù)量來看，大致可以推測，該服務器泄露期間使用該移動應用程序執(zhí)行Bing搜索的任何人都面臨危險。我們看到了來自70多個國家的執(zhí)行搜索的人的記錄?！?/span>

他們還聲稱，該服務器在9月10日、9月12日至9月14日期間遭到了Meow攻擊。

“從我們看到的情況來看，9月10日至12日期間，該服務器受到了Meow攻擊，這次攻擊幾乎刪除了整個數(shù)據(jù)庫。我們在12日發(fā)現(xiàn)該服務器時，自攻擊以來收集的記錄有1億條。9月14日，該服務器受到了第二次Meow攻擊?！?/span>

由于Elasticsearch服務器向來就有在網(wǎng)上泄露數(shù)據(jù)的名聲，這次事件不足為奇。此外，配置不當?shù)臄?shù)據(jù)庫在過去幾年已泄露了數(shù)十億條敏感記錄。

微軟辯稱，泄露的數(shù)據(jù)數(shù)量很少。該公司發(fā)言人表示：“我們已解決了配置不當問題，該問題導致少量的搜索查詢數(shù)據(jù)泄露。我們在分析后確定，泄露的數(shù)據(jù)很有限，且無法識別用戶的身份?！?/span>

最后分享一套2020年Python面試題及詳細答案解析
已整理成冊，希望能幫助更多的讀者獲取大廠職位
完整面試題及答案地址獲取
關注我的另一個公眾號，回復：500
（一定要回復：500）否則啥也等不到
掃描上方二維碼關注并回復：500
就有資源鏈接啦！

回復：好書?還能獲取《Python3.X項目實踐》送書活動抽獎碼