Microsoft sécurise un serveur Bing qui exposait des données de recherche
Pendant plusieurs jours, un serveur de Bing a exposé des milliards de données de recherche : fort heureusement, il n'y avait pas de données personnelles.
Ata Hakcil, chercheur en sécurité de chez WizCase, a découvert cette faille et d'après le serveur a exposé plus de 6,5 To de logs. Pour avoir un fichier de log de cette taille, il faut déjà avoir quelques lignes. En effet, il contenait 13 milliards d'entrées correspondantes à des recherches effectuées sur Bing.
Le chercheur a fait quelques tests et il a pu retrouver dans les logs ses proches recherches réalisées sur Bing pour Android.
Ce serveur s'est retrouvé publié en ligne du 10 au 16 septembre 2020 mais c'est Ata Hakcil qui a arrêté lui-même cette hémorragie, car il a prévenu le Microsoft Security Response Center (MSRC). Le problème a été corrigé dans la foulée par Microsoft.
Microsoft a communiqué auprès de ZDNet à ce sujet en précisant qu'il s'agissait seulement d'une petite quantité de données et qu'elles étaient limitées et désidentifiées. Autrement dit, il n'y avait pas de données personnelles contenues dans ce log.
Que contenait ce fichier de log de 6,5 To ? Il contient ce que l'on pourrait appeler des fiches utilisateurs au niveau du tracking puisqu'il y a diverses informations sur le périphérique utilisé et la provenance du visiteur : type d'appareil, système d'exploitation, navigateur (nom et version), localisation géographique, etc... Ainsi que divers identifiants techniques. Le tout exploitable chez Microsoft au travers de l'outil Elasticsearch.
