image

Mobiele Bing-zoekopdrachten dagenlang open en bloot

donderdag 24 september 2020, 16:42 door Redactie, 8 reacties

Door een misconfiguratie is een server van Microsoft waarop 6,5 TB aan data stond opgeslagen van de mobiele Bing app tijdelijk toegankelijk geweest.

Op de server werden zoekopdrachten opgeslagen die met de mobiele Bing app zijn uitgevoerd. Behalve de zoekopdrachten van gebruikers uit ongeveer 70 landen, werden ook apparaatgegevens en gps-coördinaten opgeslagen. De server was beveiligd met een wachtwoord maar vanaf de eerste week van september was die beveiliging eraf, aldus Wizcase. Op 12 september ontdekte Wizcase de server waarna op 13 september Microsoft werd ingelicht over de server. Enkele dagen later nam Microsoft maatregelen.

Volgens de onderzoekers werd tussen 10 en 12 september een ‘Meow’-aanval uitgevoerd waarbij bijna de hele database werd verwijderd en alleen het woord ‘meow’ achterblijft. Op 14 september werd een tweede Meow-aanval uitgevoerd. Wizcase verzamelde uiteindelijk ongeveer 100 miljoen datarecords en analyseerde de zoekopdrachten, waaronder ook zoekopdrachten naar schietpartijen en kinderporno.

Een woordvoerder van Microsoft bevestigt tegenover The Register dat de misconfiguratie is hersteld en dat ‘een kleine hoeveelheid zoekopdrachten is uitgelekt’. “Na analyse hebben we vastgesteld dat de uitgelekte gegevens beperkt waren en niet tot personen herleidbaar."

Reacties (8)
24-09-2020, 16:55 door Anoniem
Als het alleen zoektermen zijn, is het weinig spannends. Als die zoektermen echter gekoppeld zijn aan gebruikers (apparaat ID, locatiegegevens/tijden, etc.) wordt het een ander verhaal.

Ik ben vooral benieuwd naar de metadata die Bing opslaat. De metadata kan onschuldige zoekdata veranderen in privacy gevoelige informatie, zelfs van de hoogste categorie (medisch, etniciteit, etc). Dit lek geeft inzicht in de metadata die wordt opgeslagen.
24-09-2020, 17:37 door Anoniem
Door Anoniem: Als het alleen zoektermen zijn, is het weinig spannends. Als die zoektermen echter gekoppeld zijn aan gebruikers (apparaat ID, locatiegegevens/tijden, etc.) wordt het een ander verhaal.

Ik ben vooral benieuwd naar de metadata die Bing opslaat. De metadata kan onschuldige zoekdata veranderen in privacy gevoelige informatie, zelfs van de hoogste categorie (medisch, etniciteit, etc). Dit lek geeft inzicht in de metadata die wordt opgeslagen.
Nou, ik zie hier de volgende items voorbijkomen (waarbij xxxxx=geblurde informatie voorstelt):

deviceID=xxxxx
deviceHash=xxxxx
adID=xxxxx
appID=xxxxx
pushID=xxxxx
device=mobile, (soort en merk)
OS=xxxxx
clientID=xxxxx
firstInstall=xxxxx
coordinates_history=xxxxx

Met daaronder de search queries.

Dus zo onschuldig is deze metaverzameling niet.
24-09-2020, 19:22 door beatnix
Praktisch alles buiten het zogenoemde justitiele bestel krijgt minder de privacy en veiligheid te bedreigen met zulke data dan bepaalde partijen onder noemer 'justitie' die dat wachtwoord niet nodig hebben om die data te verkrijgen.
25-09-2020, 08:13 door Anoniem
Door Anoniem: Als het alleen zoektermen zijn, is het weinig spannends. Als die zoektermen echter gekoppeld zijn aan gebruikers (apparaat ID, locatiegegevens/tijden, etc.) wordt het een ander verhaal.
Los van dat die koppeling er inderdaad is (zie 17:37 hierboven) kunnen zoektermen zelf alles bevatten wat je maar kan bedenken, en meer, inclusief privacygevoelige informatie.
25-09-2020, 09:20 door _R0N_
Zijn er echt mensen die Bing gebruiken op hun mobiel?
Ik begrijp dat er mensen zijn die de default zoekmachine gebruiken op hun Windows PC maar mobiel moet je er moeite voor doen..
25-09-2020, 14:27 door Anoniem
Ik denk dat we ons toch wel zorgen moeten maken, ook al gaat het om Bing. Microsoft heeft namelijk veel meer services dan alleen bing. Nu mogen we van geluk spreken dat het om de Bing server was. Denk dat de gevolgen groter zou zijn als het skype of de email service was. Als microsoft nu al zo'n blunder maakt, dan denk ik dat het binnen de korste keren de andere producten zullen volgen. Mijn raad: ruim de mailbox op en hou het voorlopig maar weer bij whatsapp/signal.
26-09-2020, 17:51 door Anoniem
Door Anoniem: Als het alleen zoektermen zijn, is het weinig spannends. Als die zoektermen echter gekoppeld zijn aan gebruikers (apparaat ID, locatiegegevens/tijden, etc.) wordt het een ander verhaal.

Nou, daar ben ik het niet mee eens. Ooit eens gegrasduind door de AOL seach leak? https://searchids.com/
28-09-2020, 09:57 door Anoniem
Door Anoniem: Ik denk dat we ons toch wel zorgen moeten maken, ook al gaat het om Bing.

Je bedoelt i.p.v. Facebook?

Het feit dat die set gegevens gecorreleerd beschikbaar waren voor iemand, is al zeer verontrustend. Ja, Facebook verzamelt die informatie en stelt de dataset aan derden beschikbaar. Van Microsoft had ik begrepen dat ze dergelijke data alleen intern (aan ontwikkelaars) ter beschikking stellen. Waarom dat dan op een externe server staat, snap ik dan niet. Leveren ze die datasets dan toch aan derden?

Bij Google bestaan dergelijke datasets alleen in je eigen omgeving. En daar kunnen al helemaal geen medewerkers bij komen.

Microsoft heeft namelijk veel meer services dan alleen bing. Nu mogen we van geluk spreken dat het om de Bing server was. Denk dat de gevolgen groter zou zijn als het skype of de email service was. Als microsoft nu al zo'n blunder maakt, dan denk ik dat het binnen de korste keren de andere producten zullen volgen. Mijn raad: ruim de mailbox op en hou het voorlopig maar weer bij whatsapp/signal.

Whatsapp?
LOL

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.