小型公司服务器组态不当,资料外泄影响有限。若是微软等级云计算供应商的系统防护不当,造成的风险可就完全不同。安全公司本月稍早发现,微软一台服务器暴露于公开网络上,其中存放了6.5TB的Bing用户搜索资料,而且已经遭到攻击删除大部分资料。
安全厂商WizCase协同白帽黑客Ata Hakcil于本月发现,一台隶属于微软的联网服务器未加密码。这台服务器为一Elasticsearch服务器,此类服务器是企业将大量资料汇集整理起来以便日后搜索及查询。经过探究,这台服务器存放Bing App用户使用而产生的相关资料,包括查询关键字、设备信息、GPS坐标、查询详细时间、用户由搜索引擎连出去的网址、操作系统、用户ID资料如微软账号ID、设备ID及、Firebase通知令符等。
为了验证,研究人员下载Bing App后立即搜索了Wizcase,即可立即发现他的搜索关键字、设备资料及GPS坐标等,证实这个数据库的确直接来自Bing App。
尽管Bing并非最主要的搜索引擎,但是用户还是很多,光是Google Play下载的Android版就超过1,000万、每天产生数百万次搜索。
研究团队于9月12日发现这个数据库,但同时也在9月10日到12日之间,这台服务器遭到Meow攻击(以自动化工具删除资料的攻击行为),对方删除了几乎整个数据库。到了12日数据库又添加了1亿笔资料,而到了14日,黑客再度发动Meow攻击。
根据数据库的记录,这批资料数量可能达6.5TB,每天以200GB速度增长,而从用户地点信息研判,用户遍布70余国。研究团队推测任何以Bing App搜索的用户资料都在曝险范围中。不过这批资料并不包含用户个人信息。
至于理应拥有严谨安全防护的微软,何以出现该重大疏漏,研究团队扫描得知,这台服务器在9月第一周前一直有设密码防护。大约两天前(9月10日)验证不知为何被移除。他们于9月13日先后通知微软及微软安全回应中心(Microsoft Security Response Center,MSRC),微软于9月16日重新加上防护。
除了这帮黑客外,研究人员指出,这些资料如果落在歹徒手中,可能引发勒索信件、钓鱼诈骗信、或是真的上门偷窃等威胁。
此外,研究人员也发现他们调查期间,还有其他人以Bing搜索过买枪支、射击等,但这不代表一定是歹徒,也有可能是美国用户近来想买枪自保的人变多所致,但是也有搜索“儿童色情”、“杀掉共党分子”这类明显不法的行为。
研究人员提醒,虽然这次曝险的并不包含个人信息,但对不法分子来说已经提供了充分资料,例如地点信息。由于Bing(以及Google)等搜索引擎都会访问大量用户信息,研究人员建议,为避免泄露地点信息,使用时应关闭GPS、并激活VPN上网。或者直接换隐私搜索引擎,像是DuckDuckGo。