検索エンジンBingモバイルアプリのユーザーデータが「ニャー攻撃」で流出!

Logs-of-our-search-including-all-details-related-to-the-device-1-1

Logs-of-our-search-including-all-details-related-to-the-device-1-1
 
セキュリティ研究者らが、Microsoftが所有するサーバーから、検索エンジンBingモバイルアプリの膨大な数のユーザーデータが流出したと報告しています。

Bingモバイルアプリのユーザーデータが流出

セキュリティサイトWizCaseが、Microsoftが所有するエラスティックサーバーにおいて、Bingモバイルアプリ(iOSとAndroidの両方)に関連するユーザーのログインデータが流出していたことを発見しました。
 
流出したデータには、ユーザーID、検索クエリ、位置情報、ユーザーがチェックした検索結果の情報などが含まれていたそうです。

さまざまなユーザーデータが流出

WizCaseによると、データベースは通常パスワードで保護されていますが、2020年9月10日から9月16日の期間中、ハッキングにより保護されていませんでした。
 
WizCaseのセキュリティ研究者らが調査した結果、以下のデータがBingモバイルアプリから流出していたことが判明しています。
 

  • 検索ワード:プライベートモードで入力したものを除く、検索ボックスに入力したテキスト
  • 位置情報:アプリで位置情報の利用が許可されていた場合、誤差500メートル以内の正確なユーザーの位置情報
    (位置に関連する情報が正確でない場合でも、ユーザーの位置はかなり正確に把握可能。たとえばGoogle Mapに自分の位置情報をコピーした場合、そのスマートフォンの持ち主までたどり着ける可能性がある)
  • 検索が行われた正確な時間
  • Firebase通知トークン
  • クーポンコードがコピーされた時間や、アプリによって自動適用された時間、どのURLだったかなどのクーポンデータ
  • 検索結果からユーザーが訪問したURLのリストの一部
  • デバイス(スマートフォンやタブレット)の機種
  • OS
  • 各ユーザーに割り当てられた3つの異なるユニークID(ADID、deviceID、devicehash)

9月16日に復旧

WizCaseがデータ流出を発見したのは、パスワード認証が取り除かれた2日後の9月12日でした。
 
翌9月13日に同サイトはMicrosoftに警告しましたが、データベースが再び保護されたのは9月16日だったとのことです。

「ニャー攻撃」でデータが流出

WizCaseの調査によると、9月10日から12日にかけてMicrosoftのサーバーが「ニャー攻撃」(”meow”という猫の鳴き声だけが書き残される攻撃)の標的とされ、データベースのデータのほぼ全てが削除されました。9月12日にWizCaseが攻撃を確認した時点では、すでに1億ものデータが流出していたそうです。
 
そして9月14日、第2のニャー攻撃が仕掛けられました。
 
70カ国以上のユーザーのデータが流出しているため、9月10日から9月16日の間にBingモバイルアプリで検索をかけたユーザーは、データが流出している危険性があるとWizCaseは警告しています。

 
 
Source:WizCase via 9to5Mac
(lunatic)

--PR--
[公式] - iPhoneの購入や予約はオンラインで確実に!

この記事がお役に立ったらシェアお願いします
目次