Badacze znaleźli luki w zabezpieczeniach Bing, które umożliwiłyby hakerom zmianę wyników wyszukiwania

Bing Microsoftu zyskał znacznie więcej uwagi w ciągu ostatnich kilku miesięcy niż przez większość życia wyszukiwarki, dzięki uruchomieniu czatu Bing . Jednak przed ujawnieniem chatbota firma Wiz, zajmująca się badaniami nad bezpieczeństwem, znalazła poważną lukę w zabezpieczeniach Bing, która umożliwiłaby hakerom uzyskanie danych osobowych, a nawet zmianę wyników wyszukiwania.

Hillai Ben-Sasson z Wiz opublikował w tym tygodniu wątek na Twitterze z ustaleniami zespołu, jak donosi The Wall Street Journal . Zaczęło się w styczniu, kiedy Wiz znalazł „dziwną konfigurację na platformie Azure”. Ben-Sasson był w stanie wykorzystać tę konfigurację, aby uzyskać dostęp do funkcji Bing Trivia firmy Microsoft. Wkrótce jednak dowiedział się, że może używać tej funkcji do wprowadzania zmian w wynikach wyszukiwania Bing.

Luka pozwoliła również firmie Wiz „wystawić tokeny pakietu Office dla każdego zalogowanego użytkownika”. Oznacza to, że hakerzy mogli wykorzystać ten exploit do uzyskania danych osobowych od użytkowników Bing, w tym wiadomości e-mail programu Outlook, czatów Teams i innych. Jak powiedział The Wall Street Journal dyrektor ds. technologii Wiz, Ami Luttwak, „mogło to być państwo narodowe próbujące wpłynąć na opinię publiczną lub haker z motywacją finansową”.

Dobrą wiadomością jest to, że Microsoft naprawił teraz problemy zgłaszane przez Wiz w Azure i Bing. We własnym poście na blogu na ten temat stwierdził:

Usługa Azure AD została zaktualizowana, aby zatrzymać wydawanie tokenów dostępu klientom, którzy nie są zarejestrowani w dzierżawach zasobów. Zapobiega to wystąpieniu tego problemu, nawet jeśli aplikacja nie obsługuje poprawnie sprawdzania autoryzacji.

Ponadto Ben-Sasson poinformował na Twitterze, że Microsoft przyznał firmie Wiz nagrodę w wysokości 40 000 USD za odkrycie i zgłoszenie błędów