Nós da The Hack já falamos bastante sobre os riscos de má-configuração de ambientes na nuvem — nossa categoria Vazamentos está repleta de exemplos de o que pode dar errado quando você se descuida de SaaS e ferramentas de cloud computing. Agora, porém, temos uma prova para ninguém botar defeito: até mesmo a Microsoft acabou cometendo um deslize e deixando exposto um servidor com nada menos de 6,5 TB de dados.
- Vazamento da Intel: empresa usava “intel123” como senha para proteger arquivos
- Marriott sofre outro vazamento e 5,2 milhões de hóspedes têm dados expostos
- Bomba! Vazam mais de 6 mil credenciais da Organização Mundial da Saúde
O ambiente em questão era uma instalação pública do Elasticsearch e registrava informações de usuários do aplicativo móvel do buscador Bing. Quem identificou o vazamento foi o time de pesquisadores da WizCase, que confirmaram a propriedade do servidor ao fazer buscas aleatórias no Bing em um smartphone e ver tais pesquisas aparecendo no ambiente em tempo real. O server crescia 200 GB a cada dia.
Os dados vazados são variados: temos os termos de busca em texto simples, coordenadas de localização geográfica (caso tal recurso tenha sido ativado nas configurações pelo usuário), horário da pesquisa, lista parcial de URLs visitadas pelos resultados, modelo do dispositivo, sistema operacional e três identificadores (IDs) internos que a própria Microsoft parece atribuir a cada utilizador da ferramenta.
O mais estranho é que, de acordo com a equipe da WizCase, o servidor estava protegido até o dia 10 de setembro, quando sua autenticação foi misteriosamente removida. O vazamento foi identificado logo após e, no dia 13, a Microsoft foi notificada, respondendo prontamente aos pesquisadores. A falha foi solucionada no dia 16, mas a companhia não comentou sobre o ocorrido.
Altamente sensível
Estamos falando de um incidente bastante delicado, visto que, com um cruzamento básico dos dados vazados, seria possível descobrir a identidade de quem realizou alguma busca no Bing. A equipe de analistas, por enquanto, encontrou uma série de pesquisas perturbadoras — tanto ilegais, como pornografia infantil e tráfico de armas, quanto legais, porém de cunho altamente íntimo.
"Como hackers éticos, não temos os recursos para identificar essas pessoas e entregá-las às autoridades. No entanto, esta descoberta revelou quantos predadores e pessoas perigosas estão usando mecanismos de busca para encontrar suas próximas vítimas e quais sites eles estão visitando", comenta a WizCase.
Fonte: WizCase