Si vous avez utilisé Bing sur votre téléphone mobile pour rechercher des informations sensibles, vous devrez peut-être reconsidérer cette opération à partir de maintenant. Une énorme fuite de l'application Bing permet à un pirate de voir tout ce qu'un utilisateur recherche.
Cette faille a été découverte par la société de sécurité WizCase. L'équipe était dirigée par un pirate informatique nommé Ata Hakcil, qui a découvert un serveur de données non sécurisé appartenant à Microsoft.
Le serveur contenait 6,5 To de données et augmentait de 200 Go chaque jour. Lorsque l'équipe a inspecté le contenu du serveur, elle a trouvé une vaste base de données de journaux de recherches effectuées via l'application officielle Bing. Il ne semble pas que des recherches effectuées via le site Web de Bing aient été présentes.
L'équipe a découvert que le serveur avait été protégé par un mot de passe dans le passé ; cependant, il a perdu son mot de passe au cours de la première semaine de septembre 2020. Les pirates avaient trouvé le serveur avant WizCase, lançant une attaque Meow entre le 10 et le 12 septembre, qui menaçait de détruire toute la base de données.
Cependant, l'attaque de Meow n'a pas complètement tout effacé. Une fois que WizCase est arrivé sur les lieux le 12 septembre, l'équipe a constaté que les pirates avaient collecté plus de 100 millions d'enregistrements de recherche.
Le serveur a enregistré les données suivantes :
Termes de recherche en texte clair, à l'exclusion de ceux saisis en mode privéCoordonnées de localisation :si l'autorisation de localisation est activée sur l'application, un emplacement précis, à moins de 500 mètres, a été inclus dans l'ensemble de données. Bien que les coordonnées exposées ne soient pas précises, elles donnent toujours un périmètre relativement petit de l'endroit où se trouve l'utilisateur. En les copiant simplement sur Google Maps, il pourrait être possible de les utiliser pour remonter jusqu'au propriétaire du téléphone. L'heure exacte à laquelle la recherche a été exécutée.
Les données contenaient également l'appareil avec lequel l'utilisateur a effectué la recherche et le système d'exploitation utilisé pour effectuer la recherche.
Malheureusement, la quantité de données divulguées à partir de la base de données donne aux pirates suffisamment d'informations pour lancer des attaques contre les utilisateurs de Bing. Les coordonnées de localisation, associées aux termes de recherche, peuvent fournir aux pirates des informations utilisées pour usurper votre identité.
Un pirate informatique peut utiliser les termes de recherche, les coordonnées et l'appareil pour déterminer qui a envoyé la requête. Le pirate peut alors créer un profil personnel avec lequel il peut se faire passer pour cette personne et commettre une usurpation d'identité.
Si le pirate trouve un terme de recherche scandaleux, il peut l'utiliser pour faire chanter la victime. Ils peuvent également créer une escroquerie par hameçonnage en utilisant les entreprises ou les centres d'intérêt recherchés par l'utilisateur.
Un pirate peut même utiliser ces données pour lancer un vol physique sur l'utilisateur. Si l'utilisateur effectue une recherche sur Bing alors qu'il est à la maison, cela indique au pirate informatique où il vit. Le pirate peut alors utiliser les temps et les termes de recherche pour déterminer quand la maison de la victime sera vide, puis la cambrioler.
Avec cette récente fuite, les utilisateurs de Bing doivent être conscients que leurs données peuvent désormais être entre des mains malveillantes. Il est maintenant plus important que jamais d'utiliser un moteur de recherche qui respecte la confidentialité des utilisateurs et n'enregistre pas vos recherches.
Si vous souhaitez (à juste titre) passer à un moteur de recherche plus sécurisé, ne vous inquiétez pas. Il existe de nombreux moteurs de recherche privés qui respectent vos informations, tels que DuckDuckGo et StartPage.
Crédit image : BEST-BACKGROUNDS/Shutterstock.com
