Nós, do Hack, falamos muito sobre os riscos de configurar incorretamente os ambientes de nuvem – nossa categoria Vazamentos está repleta de exemplos do que pode dar errado quando você negligencia SaaS e ferramentas de computação em nuvem. Agora, porém, temos uma prova para qualquer um desertar: até a Microsoft acabou cometendo um deslize e deixando exposto um servidor com nada menos que 6,5 TB de dados.
O ambiente em questão era uma instalação pública do Elasticsearch e informações gravadas dos usuários do aplicativo móvel do mecanismo de busca Bing. Quem identificou o vazamento foi a equipe de pesquisadores da WizCase, que confirmou a propriedade do servidor fazendo buscas aleatórias no Bing em um smartphone e vendo essas buscas aparecerem no ambiente em tempo real. O servidor cresceu 200 GB todos os dias.
Os dados vazados são variados: temos os termos de pesquisa em texto simples, coordenadas de localização geográfica (se esse recurso foi ativado nas configurações pelo usuário), tempo de pesquisa, lista parcial de URLs visitados pelos resultados, modelo do dispositivo, sistema operacional e três identificadores internos (IDs) que a própria Microsoft parece atribuir a cada usuário da ferramenta.
O mais estranho é que, segundo a equipe do WizCase, o servidor ficou protegido até 10 de setembro, quando sua autenticação foi misteriosamente removida. O vazamento foi identificado logo em seguida, e no dia 13, a Microsoft foi notificada, respondendo prontamente aos pesquisadores. A falha foi sanada no dia 16, mas a empresa não comentou o ocorrido.
Altamente sensível
Estamos falando de um incidente muito delicado, pois, com um cruzamento básico dos dados vazados, seria possível descobrir a identidade de quem fez algumas buscas no Bing. A equipe de analistas, por enquanto, encontrou uma série de inquéritos inquietantes – tanto ilegais, como pornografia infantil e tráfico de armas, quanto legais, mas de natureza altamente íntima.
Reprodução: WizCase
“Como hackers éticos, não temos os recursos para identificar essas pessoas e entregá-las às autoridades. No entanto, essa descoberta revelou quantos predadores e pessoas perigosas estão usando mecanismos de pesquisa para encontrar suas próximas vítimas e quais sites eles estão visitando, ” ele diz. WizCase.
Fonte: WizCase
Veja a postagem original em: https://thehack.com.br/microsoft-deixa-vazar-dados-de-quase-todos-os-usuarios-do-bing-para-smartphones/?rand=48873
