ข่าวไอที Blognone » นักวิจัยพบแอป Microsoft Bing เผลอเปิดฐานข้อมูล Elasticsearch ทำข้อมูลการค้นเว็บรั่ว

นักวิจัยพบแอป Microsoft Bing เผลอเปิดฐานข้อมูล Elasticsearch ทำข้อมูลการค้นเว็บรั่ว

24 กันยายน 2020
103   0

ทีมนักวิจัยจากบริษัท WizCase พบฐานข้อมูล Elasticsearch ของแอป Microsoft Bing เข้าถึงได้จากอินเทอร์เน็ต เปิดเผยข้อมูลขนาด 6.5TB โดยขณะพบตัวฐานข้อมูลยังมีข้อมูลใหม่ยิงเข้าไปตลอดเวลา ประมาณวันละ 200GB

ที่น่าสนใจคือเซิร์ฟเวอร์ตัวนี้ของไมโครซอฟท์ถูกสแกนมาก่อนแล้ว แต่พบว่าล็อกรหัสผ่านไว้ถูกต้องทำให้ข้อมูลไม่รั่วไหล แต่เมื่อวันที่ 10 กันยายนที่ผ่านมาก็ปลดรหัสออก ทำให้คนภายนอกสามารถเข้าดูข้อมูลได้ จากนั้นทีมวิจัยของ WizCase ก็ไปพบในวันที่ 12 กันยายนและแจ้งไมโครซอฟท์ทันที ทางไมโครซอฟท์ปิดฐานข้อมูลนี้ในวันที่ 16 กันยายนที่ผ่านมา

ตัวฐานข้อมูลเป็นข้อมูลคำค้น (search terms), พิกัดอย่างหยาบของผู้ใช้, ข้อมูลการคลิกเข้าเว็บหลังค้นหา, รุ่นอุปกรณ์/ระบบปฎิบัติการ, หมายเลขประจำบัญชีผู้ใช้ (ADID), หมายเลขประจำเครื่อง (deviceID) แม้จะไม่มีข้อมูลผู้ใช้โดยตรง เช่น อีเมลหรือชื่อนามสกุล แต่หากคนร้ายสามารถหา ADID หรือ deviceID ของเหยื่อได้ก็จะรู้ได้ว่าเหยื่อเคยค้นคำอะไรบ้าง คำค้นบางอย่างอาจเป็นส่วนตัวเช่นการค้นภาพโป๊ และทีมงานก็พบบางรายการเป็นการค้นหาภาพโป๊เด็ก

ที่มา - WizCase

No Description
ภาพคำค้นของผู้ใช้ที่หาปืน, การฆ่าคอมมิวนิสต์ ข้อมูลแสดงลิงก์ที่คลิกไป

[source: https://www.blognone.com/node/118621]