Bing : les données des utilisateurs sont restées vulnérables pendant une semaine

23 septembre 2020 à 16h25
6

Si vous n'utilisez déjà pas le moteur de recherche Bing, voici une autre raison de ne pas y toucher.

Coup dur pour Microsoft : des chercheurs en sécurité expliquent qu'un des serveurs du moteur de recherche Bing est resté vulnérable pendant plusieurs jours mettant à mal les données personnelles des utilisateurs.

Des termes des requêtes aux coordonnées GPS

Plus précisément, il s'agit ici de l'application mobile de Bing Search, téléchargée plus de 10 millions de fois sur Android et disponible sur l'App Store d'Apple.

L'un des experts a montré, via une requête dans l'application, que cette faille donnait accès dans un serveur à des informations sensibles, parmi lesquelles la nature des recherches, les caractéristiques du smartphone ou encore les coordonnées GPS des utilisateurs.

WizCase précise que les termes de la requête étaient lisibles en clair, sauf lorsque le mode privé était activé. Les coordonnées GPS de l'utilisateur - précises à environ 500 mètres près - étaient disponibles via les permissions de géo-localisation accordées à l'application. L'heure exacte de la requête ainsi que le système d'exploitation du smartphone ou de la tablette étaient aussi récupérables.

Quelle est l'ampleur de cette vulnérabilité ?

Les experts expliquent que le serveur concerné contenait 6,5 téraoctets de données auxquelles s'ajoutaient chaque jour quelque 200 Go supplémentaires, issus des requêtes des utilisateurs effectuées entre le 10 et le 16 septembre. Une analyse des coordonnées géographiques révèle que des recherches effectuées depuis plus de 70 pays sont concernées. En d'autres termes, sur cette période, tous les utilisateurs de l'application étaient vulnérables.

Notons que les experts de WizCase ne sont pas les seuls à avoir repéré ce problème. Entre les 10 et 12 septembre, le serveur a été victime d'une attaque de type Meow. Ce script automatisé est conçu pour repérer les infrastructures non sécurisées et procéder à l'effacement des bases de données. Sur ledit serveur, 100 millions de données ont été supprimées… avant une seconde attaque Meow le 14 septembre.

Quelles conséquences pour l'utilisateur ?

On ne sait pas si cette vulnérabilité a été exploitée par un tiers. Si tel est le cas, une personne malintentionnée pourrait effectivement utiliser cette data à mauvais escient. La nature parfois sensibles des requêtes pourrait notamment faire l'objet de chantage auprès d'une victime identifiée.

WizCase ajoute qu'il est possible de désanonymiser les données pour organiser des campagnes de phishing ciblées grâce à la nature des requêtes.

Ayant été informé du problème le 13 septembre, Microsoft a sécurisé son serveur trois jours plus tard.

Source : WizCase

6
7
Partager l'article :
Voir tous les messages sur le forum

Actualités récentes

Test Garmin Forerunner 745 : la nouvelle référence des montres sport ?
Après Google, la justice américaine s'apprête à ouvrir une enquête antitrust contre Facebook
C'est le Black Friday avant l'heure avec cet aspirateur robot iRobot Roomba 981 à prix choc
Belle promo sur le Xiaomi Mi TV Stick chez Cdiscount
Chrome OS va peut-être bientôt avoir droit à son
Oculus : si vous supprimez votre compte Facebook, vous perdez aussi vos achats
Comment configurer NordVPN sur sa console de jeux ?
NordVPN : comment configurer l’extension Chrome ?
Comment configurer NordVPN sur une box Internet ?
Uber et Lyft perdent leur appel et doivent requalifier leurs chauffeurs en salariés en Californie
scroll top