検索エンジンBingモバイルアプリのユーザーデータが「ニャー攻撃」で流出!

 
セキュリティ研究者らが、Microsoftが所有するサーバーから、検索エンジンBingモバイルアプリの膨大な数のユーザーデータが流出したと報告しています。

Bingモバイルアプリのユーザーデータが流出

セキュリティサイトWizCaseが、Microsoftが所有するエラスティックサーバーにおいて、Bingモバイルアプリ（iOSとAndroidの両方）に関連するユーザーのログインデータが流出していたことを発見しました。
 
流出したデータには、ユーザーID、検索クエリ、位置情報、ユーザーがチェックした検索結果の情報などが含まれていたそうです。

さまざまなユーザーデータが流出

WizCaseによると、データベースは通常パスワードで保護されていますが、2020年9月10日から9月16日の期間中、ハッキングにより保護されていませんでした。
 
WizCaseのセキュリティ研究者らが調査した結果、以下のデータがBingモバイルアプリから流出していたことが判明しています。
 

• 検索ワード：プライベートモードで入力したものを除く、検索ボックスに入力したテキスト
• 位置情報：アプリで位置情報の利用が許可されていた場合、誤差500メートル以内の正確なユーザーの位置情報
  （位置に関連する情報が正確でない場合でも、ユーザーの位置はかなり正確に把握可能。たとえばGoogle Mapに自分の位置情報をコピーした場合、そのスマートフォンの持ち主までたどり着ける可能性がある）
• 検索が行われた正確な時間
• Firebase通知トークン
• クーポンコードがコピーされた時間や、アプリによって自動適用された時間、どのURLだったかなどのクーポンデータ
• 検索結果からユーザーが訪問したURLのリストの一部
• デバイス（スマートフォンやタブレット）の機種
• OS
• 各ユーザーに割り当てられた3つの異なるユニークID（ADID、deviceID、devicehash）

9月16日に復旧

WizCaseがデータ流出を発見したのは、パスワード認証が取り除かれた2日後の9月12日でした。
 
翌9月13日に同サイトはMicrosoftに警告しましたが、データベースが再び保護されたのは9月16日だったとのことです。

「ニャー攻撃」でデータが流出

WizCaseの調査によると、9月10日から12日にかけてMicrosoftのサーバーが「ニャー攻撃」（”meow”という猫の鳴き声だけが書き残される攻撃）の標的とされ、データベースのデータのほぼ全てが削除されました。9月12日にWizCaseが攻撃を確認した時点では、すでに1億ものデータが流出していたそうです。
 
そして9月14日、第2のニャー攻撃が仕掛けられました。
 
70カ国以上のユーザーのデータが流出しているため、9月10日から9月16日の間にBingモバイルアプリで検索をかけたユーザーは、データが流出している危険性があるとWizCaseは警告しています。

 
 
Source:WizCase via 9to5Mac
(lunatic)