La base de datos expuesta no incluía ningún dato personal,
como puede ser nombre o direcciones físicas, lo que incluía eran datos
confidenciales de los usuarios de la aplicación móvil de Microsoft Bing, donde
se han visto expuestas consultas de búsqueda, detalles del dispositivo y coordenadas
GPS.
Ata Hakcil de WizCase, fueron los que descubrieron la
filtración de datos el día 12 de septiembre. Los datos filtrados los cuales se
podían acceder sin contraseña estaban en un cache masivo de archivos de registros
de 6.5TB, un dato muy peligroso por el hecho de que cualquiera puede acceder a
la información, incluyendo ciberdelincuentes que pueden aprovecharse de la información
para llevar a cabo estafas de extorsión y phishing.
Según ha informado WizCase, creen que el servidor Elastic
que contenía toda está información estuvo protegido con contraseña hasta el día
10 de septiembre, siendo eliminada a partir de ese día de manera inadvertida.
Después de recibir la información privadamente del problema,
el Centro de respuesta de seguridad de Microsoft, empezó a trabajar en el
arreglo de la configuración incorrecta el 16 de septiembre.
El problema que ha tenido Microsoft con este servidor es uno
de los problemas más comunes de filtración de datos en los últimos años, dando
lugar a la exposición de direcciones de correo electrónico, contraseñas, mensajes
privados y números de teléfono.
En una publicación de este lunes, Chase Wiliams de WizCase
comento que cualquier persona que ha realizado una búsqueda en Bing con la
aplicación móvil esta expuesto al riesgo, además añadió que se vieron los
registros de más de 70 países.
Entre los términos de búsqueda, se encuentran temas
delicados como búsqueda de pornografía infantil y consultas relacionadas con
armas e interés en tiroteos, incluso búsquedas de como matar a comunistas.
La información encontrada en el servidor incluía además de
los detalles de los dispositivos y la ubicación, contenía la hora exacta en la
que se realizó la búsqueda, una lista de URLs que los usuarios habían visitado a
partir de la búsqueda y tres identificadores únicos, el ADID (identificador numérico
asignado por Microsoft Advertising a un anuncio), deviceID y devicehash.
Además, el servidor se ha visto expuesto a un ciberataque
automatizado llamado “meow attack” el cual ha borrado los datos de más de
14.000 instancias de bases de datos no seguras desde julio.
Tras el incidente WizCase ha advertido que los datos obtenidos
podrían explotarse para otros propósitos maliciosos, incluso exponer a los
usuarios a ataques físicos.