Un team di ricercatori di sicurezza è riuscito a recuperare i dati degli utenti Bing esposti su un server di proprietà di Microsoft. I dati provengono dalle versioni iOS e Android dell’app.
I dati esposti includono gli ID univoci degli utenti che hanno utilizzato Bing, ma anche le loro query di ricerca, la posizione e anche le pagine web visitate nell’ultimo periodo. Il database era originariamente protetto da password, ma la protezione è venuta meno tra il 10 e il 16 settembre, quando gli esperti in sicurezza sono riusciti a scovare tantissimi dati su un server di proprietà di Microsoft. Questo server registrava i dati degli utenti relativi alle app Bing su iOS e Android.
Ecco l’elenco dei dati in chiaro:
- Termini di ricerca in chiaro, esclusi quelli inseriti in modalità privata
- Coordinate della posizione: se l’autorizzazione alla posizione è abilitata sull’app, una posizione precisa, entro 500 metri, è stata inclusa nel set di dati. Sebbene le coordinate esposte non siano precise, forniscono comunque un perimetro relativamente piccolo di dove si trova l’utente. Semplicemente copiandoli su Google Maps, potrebbero essere utlizzati per risalire al proprietario del telefono.
- L’ora esatta in cui è stata eseguita la ricerca.
- Token di notifica Firebase
- Coupon Data come timestamp di quando un codice è stato copiato o applicato automaticamente dall’app e su quale URL si trova
- Un elenco parziale degli URL visitati dagli utenti dai risultati di ricerca
- Modello di dispositivo (telefono o tablet)
- Sistema operativo
- Tre numeri ID univoci separati assegnati a ciascun utente: ID univoco per singolo account Microsoft; ID del dispositivo; devicehash
Nel database sono state trovate anche ricerche di immagini relativa ad abusi sessuali su minori. WizCase ha segnalato la violazione a Microsoft il 13 settembre e il problema è stato risolto tre giorni dopo.