微软通过不安全的弹性服务器泄露了6.5TB的必应搜索数据。*插入

本月早些时候，微软向全世界公开了一台6.5TB的Elastic服务器，其中包括搜索词、位置坐标、设备ID数据，以及访问过哪些URL的部分列表。

根据网络安全机构WizCase的一份报告，服务器一直受到密码保护，直到9月10日左右，认证被取消，我们被告知。

WizCase代码探测者Ata Hakcel于9月12日发现了该漏洞。这些数据似乎是由必应(Bing)手机应用程序生成的，该应用程序承诺，用户很容易获得奖励，只需用必应搜索就可以了，而且从谷歌的Play Store下载的次数至少超过1000万次。根据WizCase的数据，这些数据每天增长高达200 GB，其中包括来自70多个国家的人的搜索。

一旦数据不受保护，就会发生几件事。9月13日，这家信息安全公司向微软报告了这一问题，9月16日，Windows巨头的安全响应中心将该数据库从公众视线中消失了。这给黑客和机器人留下了充足的时间来跌跌撞撞地进入数据竖井。WizCase表示，该服务器曾两次遭遇喵叫攻击，指的是一种机器人，它会清除不安全的数据库，并用新的重复使用喵这个词的数据库取而代之。然而，来自必应应用程序的新鲜遥测继续在筒仓中收集。如果喵机器人发现了这些数据，很可能其他感兴趣的人也会这样做。

在缓解方面，这些信息不包括姓名、地址或电子邮件地址等个人详细信息。然而，一个关键的问题是，是否包括了足够的数据来追踪使用该搜索引擎的个人。

2006年，AOL发布了它认为是出于研究目的的匿名搜索数据，尽管记者们很快通过确认一些搜索者的身份证明了这一点是错误的。这很容易的原因之一是，每个搜索者都由一个数字关键字标识，因此可以看到特定个人进行的所有搜索，然后将查询中的线索连接起来。

漏水的AWS S3水桶非常常见，现在数以千计的人正在发现它们-其中隐藏着大量的秘密。

多读

看来微软泄露的数据可能同样会对隐私造成影响。WizCase屏幕截图显示，这些记录包括名为deviceID、deviceHash、AdID和clientID的字段，就查找特定用户的所有搜索而言，所有这些字段都很有希望。还有一些坐标显示了500米以内的位置，虽然不够精确，无法得到地址，但对试图识别搜索者的人很有帮助。

这些数据还揭示了人们搜索的一些令人不快的东西，包括非法内容。WizCase建议，如果犯罪分子成功地解除数据的匿名化，一些人可能因此容易受到勒索或网络钓鱼诈骗的攻击。

StatCounter的数据显示，必应的市场份额仅为2.83%，而谷歌的市场份额为92.05%。尽管如此，这只是一个非常大的市场中的一小部分，而且StatCounter的数据可能没有反映通过必应应用程序或集成到Windows搜索中的搜索结果。

这一安全失误对微软来说是不幸的，它宣称简化的隐私控制是iOS版必应搜索的好处之一。

微软的一位发言人告诉我们：“我们已经修复了一个导致少量搜索查询数据泄露的错误配置。经过分析，我们已经确定暴露的数据是有限的，而且是不确定的。“。

任何人都可能犯错误，但我们与微软(Microsoft)和谷歌(Google)等搜索提供商达成了一项隐含的协议，允许他们收集我们行为的数据，作为回报，我们可以获得个性化服务和改进的搜索结果。需要高度的信任，而这类事件正在损害这种信任。显然，这些数据没有加密。®。

The Register-独立于科技界的新闻和观点。情况发布的一部分