{"id":235810,"date":"2020-09-22T09:18:56","date_gmt":"2020-09-22T07:18:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235810"},"modified":"2022-09-07T22:01:21","modified_gmt":"2022-09-07T20:01:21","slug":"ungesicherter-microsoft-bing-server-leckt-suchanfragen-standortdaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/22\/ungesicherter-microsoft-bing-server-leckt-suchanfragen-standortdaten\/","title":{"rendered":"Ungesicherter Microsoft Bing Server leakt Suchanfragen, Standortdaten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/09\/22\/ungesicherter-microsoft-bing-server-leckt-suchanfragen-standortdaten\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Ein nicht abgesicherter Microsoft Bing Server erlaubte Dritten Suchanfragen sowie Standortdaten von Benutzern abzurufen. Zu den offengelegten Daten geh\u00f6rten auch Ger\u00e4teinformationen &#8211; aber keine pers\u00f6nlichen Daten. \u00dcber die Kombination dieser Daten lassen sich aber Benutzer in manchen F\u00e4llen identifizieren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/62fcf136a69c4dccbca11d6b5b4312c6\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin am gestrigen sp\u00e4ten Abend von den Sicherheitsforschern von WizCase \u00fcber diesen Datenvorfall informiert worden. <a href=\"https:\/\/www.wizcase.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">WizCase<\/a> ist ein Portal, welches die 'besten VPNs' bewirbt, sich daf\u00fcr aber im Bereich Online-Sicherheit und Datenschutz in Fragen der Cybersicherheit engagiert. Deren Sicherheitsforscher sind k\u00fcrzlich auf <a href=\"https:\/\/www.wizcase.com\/blog\/bing-leak-research\/\" target=\"_blank\" rel=\"noopener noreferrer\">ein Datenleck in der mobilen Microsoft Bing-App gesto\u00dfen<\/a>. Die App speicherte benutzerbezogene Daten wie Suchanfragen, Standortkoordinaten oder Ger\u00e4tedetails auf einem ungesicherten Server. Damit waren die Daten f\u00fcr jeden, der die Adresse des ElasticSearch-Servers kannte, per Internet abrufbar.<\/p>\n<h2>Ungesicherter Microsoft ElasticSearch-Server<\/h2>\n<p>Bei der Suche nach offenen Servern bzw. Datenbanken im Internet stie\u00dfen die Sicherheitsexperten von WizCase unter der Leitung von Ata Hakcil auf einen ungesicherten ElasticSearch-Server, auf dem Daten zu Suchanfragen protokolliert wurden. In den Datens\u00e4tzen fanden sich benutzerbezogene Daten wie Suchanfragen, Standortkoordinaten oder Ger\u00e4tedetails.<\/p>\n<p><a href=\"https:\/\/www.wizcase.com\/wp-content\/uploads\/2020\/09\/Logs-of-our-search-including-all-details-related-to-the-device-1-1.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Bing-Suchdaten\" src=\"https:\/\/www.wizcase.com\/wp-content\/uploads\/2020\/09\/Logs-of-our-search-including-all-details-related-to-the-device-1-1.jpg\" alt=\"Bing-Suchdaten\" width=\"626\" height=\"327\" \/><\/a><br \/>\n(Bing-Suchdaten, Quelle: WizCase)<\/p>\n<h2>Bing Mobil-App als Quelle<\/h2>\n<p>Schnell kam der Verdacht auf, dass die Daten von der mobilen Microsoft Bing-App gesammelt und an den Microsoft-Server \u00fcbertragen werden. Die App steht sowohl im iTunes-Store von Apple als auch im Google Play Store zum Download bereit und wurde Millionen Mal heruntergeladen. Hakcil installierte sich die Microsoft Bing-App auf einem Ger\u00e4t und startete eine Suchanfrage nach WizCase. Dann durchsuchte er die Log-Dateien des Servers und fand er seine Informationen. Diese umfassten die Suchanfragen, Ger\u00e4tedetails und GPS-Koordinaten. Hakcil sieht das als Beweis, dass die exponierten Daten direkt aus der mobilen Bing-App stammen. Die exponierten Daten umfassen:<\/p>\n<ul>\n<li>Suchbegriffe im Klartext (Ausnahme: Suchanfragen, die im Privatmodus eingegeben wurden)<\/li>\n<li>Standort-Koordinaten: Ist der Zugriff auf die Standortbestimmung in der App aktiviert, wurde ein genauer Standort im Umkreis von 500 Metern in den Datensatz aufgenommen.Obwohl die angegebenen Koordinaten nicht genau sind, geben sie dennoch einen relativ kleinen Umkreis des Standorts des Benutzers an. Tr\u00e4gt man die Daten in Google Maps ein, d\u00fcrfte es m\u00f6glich sein, den Besitzer des Telefons zur\u00fcckzuverfolgen.<\/li>\n<li>Die genaue Zeit, zu der die Suche ausgef\u00fchrt wurde.<\/li>\n<li>Firebase Benachrichtigungs-Token<\/li>\n<li>Coupon-Daten wie Zeitstempel, wann ein Coupon-Code von der Anwendung kopiert oder automatisch angewendet wurde und auf welcher URL er sich befand<\/li>\n<li>Eine Teilliste der URLs, die die Benutzer aus den Suchergebnissen besucht haben<\/li>\n<li>Ger\u00e4temodell (Telefon oder Tablet)<\/li>\n<li>Betriebssystem<\/li>\n<li>3 separate eindeutige ID-Nummern, die jedem in den Daten gefundenen Benutzer zugewiesen werden\n<ul>\n<li>ADID: Scheint eine eindeutige ID f\u00fcr ein Microsoft-Konto zu sein.<\/li>\n<li>Ger\u00e4te-ID<\/li>\n<li>devicehash<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Hakcil und sein Team fanden 6,5-TByte Daten auf dem Server, wobei die Datenmenge um bis zu 200 GB pro Tag wuchs. Aufgrund der schieren Datenmenge kann man sicher spekulieren, dass jeder, der eine Bing-Suche mit der mobilen App durchgef\u00fchrt hat, w\u00e4hrend der Server exponiert war, in Gefahr ist. Die Sicherheitsforscher haben Aufzeichnungen von Personen aus mehr als 70 L\u00e4ndern gesehen, die eine Suche mit der Bing-App durchgef\u00fchrt haben.<\/p>\n<h2>Server seit September ungesch\u00fctzt<\/h2>\n<p>Laut dem WizCaseScanner war der Microsoft ElasticSearch-Server bis zur ersten Septemberwoche passwortgesch\u00fctzt. Das Sicherheitsteam entdeckte das Datenleck am 12. September 2020, etwa zwei Tage nachdem die Authentifizierung entfernt worden war. Nachdem Microsoft als Besitzer des Servers und die Bing-App als Quelle identifiziert war, alarmierte das Team am 13. September 2020\u00a0 Microsoft \u00fcber deren MSRC (Microsoft Security Response Center). Das Datenleck wurde am 16. September 2020 geschlossen, indem der Server wieder per Passwort gesch\u00fctzt wurde.<\/p>\n<h2>Meow-Angriffe auf den Server &#8230;<\/h2>\n<p>Allerdings konnten die Sicherheitsforscher feststellen, dass der Microsoft-Server zwischen dem 10. und 12. September Ziel eines Meow-Angriffs war, bei dem fast die gesamte Datenbank gel\u00f6scht wurde. Als die Sicherheitsforscher den Server am 12. September 2020 entdeckten, waren seit dem Angriff 100 Millionen Datens\u00e4tze gesammelt worden. Am 14. September gab es einen zweiten Meow-Angriff auf den Server. Die Meow-Angreifer und deren Absichten sind bisher unbekannt (siehe <a href=\"https:\/\/web.archive.org\/web\/20220524005435\/https:\/\/www.welivesecurity.com\/deutsch\/2020\/07\/28\/meow-angriffe-loeschen-fast-4-000-ungesicherte-datenbanken\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Artikel<\/a>).<\/p>\n<h2>Die Folgen solcher Vorf\u00e4lle und meine Gedanken<\/h2>\n<p>Solche offenen Server mit ihrem Datenlecks stellen eine allgemeine Gefahr dar, k\u00f6nnen die Daten doch f\u00fcr Phishing-Angriffe und kriminelle Aktivit\u00e4ten missbraucht werden. Auch wenn auf dem ungesicherten Microsoft ElasticSearch-Server keine vordergr\u00fcndig pers\u00f6nlichen Daten gesammelt wurden, ist der Vorfall gravierend. Am 3. Januar 2011 habe ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2011\/01\/03\/privatsphre-beim-suchen-wahren\/\">Privatsph\u00e4re beim Suchen wahren<\/a> \u00fcber das Thema geschrieben. Damals wurden aus AOL-Suchanfragen einzelne Personen identifiziert. Und der Beitrag <a href=\"https:\/\/borncity.com\/blog\/2016\/11\/01\/datenskandal-bist-du-glsern-millionen-daten-von-deutschen-surfern-offen-gelegt\/\">Datenskandal: 'bist Du gl\u00e4sern?' Millionen Daten von deutschen Surfern offen gelegt<\/a> ist erst aus 2016.<\/p>\n<p>Der Vorfall zeigt einerseits, wie gl\u00e4sern wir bereits geworden sind, dass man die Finger von Apps lassen\u00a0 und auf Meta-Suchmaschinen wie Startpage oder Startpage setzen sollte. Andererseits kommt noch ein zweiter Aspekt heraus. Vor 14 Tagen hatte ich nach dem Ransomware-Fall im Uniklinikum D\u00fcsseldorf eine Diskussion auf Facebook mit einem Berater eines Systemhauses. Der Berater argumentierte, dass man nur die 'richtigen L\u00f6sungen' einsetzen m\u00fcssen und hob er die F\u00e4higkeiten von Microsoft ATP zur Erkennung von Angriffen hervor &#8211; was nicht von der Hand zu weisen ist.<\/p>\n<p>Aber mir war das der 'falsche Glaube an den Fortschritt' . Mein Argument war, dass alles zunehmend unsicher werde und man immer das schw\u00e4chste Glied in der Kette, den Menschen und seine Fehler im Auge behalten muss. Ich schlug vor, dar\u00fcber nachzudenken, wie man den Angriffsvektor samt Zugriff auf Daten per Internet begrenzen m\u00fcsse. Dabei hatte ich zwei Dinge im Hinterkopf:<\/p>\n<ul>\n<li>Daten werden an Dritte zur Weiterverarbeitung gegeben und fallen dort einem Cyber-Angriff zum Opfer (irgendwo gibt es ein schwaches Glied in der Kette, welches bricht).<\/li>\n<li>Oder ein Administrator macht einen Fehler, so dass Daten ungesichert per Internet abflie\u00dfen k\u00f6nnen.<\/li>\n<\/ul>\n<p>In diesen F\u00e4llen hilft die Super-Duper Microsoft ATP-L\u00f6sung imho nicht weiter. Der obige Fall best\u00e4tigt in meinen Augen genau dieses Bauchgef\u00fchl. Wenn wir das Thema Cyber- und Datensicherheit wieder halbwegs in den Griff bekommen wollen, m\u00fcssen wir uns von vielen der heutigen Paradigmen und 'wir machen mal'-Ans\u00e4tzen verabschieden und radikal umdenken. Die neue Devise lautet imho 'weniger ist mehr' &#8211; in Bezug auf Daten m\u00fcssen in die Cloud und Apps sowie Vernetzung l\u00f6sen unsere Probleme.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein nicht abgesicherter Microsoft Bing Server erlaubte Dritten Suchanfragen sowie Standortdaten von Benutzern abzurufen. Zu den offengelegten Daten geh\u00f6rten auch Ger\u00e4teinformationen &#8211; aber keine pers\u00f6nlichen Daten. \u00dcber die Kombination dieser Daten lassen sich aber Benutzer in manchen F\u00e4llen identifizieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-235810","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235810","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235810"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235810\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}