微软公司有着的 *** 服务器被设定为纪录与Android和iOS的Microsoft Bing挪动应用软件有关的数据信息，这种应用软件在移动设备上的注册量已超出一千百次。即便 日志中不包含Bing客户的名字或详细地址，未受维护的Elastic服务端也包括很多信息内容，非常容易被 *** 黑客乱用。

不在受维护的数据库查询中，由白帽黑客Ata Hakcil领导干部的WizCase在线安全性工作组发觉了例如纯文字中的检索查看，客户的精准部位座标，Firebase通知动态口令，编码及其机器设备信息内容（比如型号规格，实际操作）等信息内容。系统软件，及其分派给每一个客户的唯一ID号。

该安全性企业观查到，直至9月10日（因为不明缘故而删掉身份认证）以前，Microsoft Bing *** 服务器都遭受登陆密码的维护。禁止使用 *** 服务器的公共性浏览维护后，企业仅花了二天時间就发觉了该 *** 服务器。

未受维护的Bing数据库查询包括使用价值6.5TB的检索查看和机器设备信息内容

在发觉之时，该 *** 服务器包括6.5 TB的数据信息，而且因为每日从Microsoft Bing挪动应用软件持续纪录的很多数据信息而已经提高约200 GB。WizCase与精英团队联络后的三天内，该 *** 服务器已由Microsoft安全性回应管理中心维护。可是，这并不可以阻拦 *** 黑客对公布服务器虚拟机数次进攻。

“从大家见到的状况看来，在9月10日至12日中间，该 *** 服务器遭受Meow进攻，该进攻基本上删除了全部数据库查询。在我们在12日发觉该远程服务器，自进攻至今已搜集了一亿条纪录。 9月14日对 *** 服务器传出喵叫进攻。

该企业在 *** 文章上说：“除开喵咪 *** 黑客外，这种数据信息还曝露给全部种类的 *** 黑客和骗子公司。这很有可能造成 对Bing挪动应用软件客户的各种各样进攻。”

比如，犯罪嫌疑人能够应用精准的所在位置座标及其 *** 服务器日志中能用的检索查看来追踪客户并明确她们的兴趣爱好，互联网欺诈者能够查询客户的兴趣爱好和选购喜好以运用钓鱼攻击电子邮箱做为总体目标，而 *** 黑客也很有可能敲诈勒索客户在得到 相关其政冶见解或让人难堪的本人详细资料的数据信息以后。

“假如您应用Bing挪动应用软件，则在开启来源于不明发货人的电子邮件时应分外当心。即便 公布数据信息中未包括客户的电子邮箱详细地址，也是有充足的客户数据信息供 *** 黑客用于搜索别人的真实身份， ” WizCase说。

该企业表明：“一旦拥有她们的名字，详细地址和工作中地址，得到 电子邮箱详细地址就沒有那麼艰难了。一般，始终不必点击非靠谱来源于的连接。”客户应关掉Bing移动智能终端上的GPS管理权限，以避免 其部位被追踪。

微软公司也不正确地配备了极大的顾客适用数据库查询

这不是安全性科学研究工作人员之一次挖掘出一个不会受到维护的Microsoft数据库查询，该数据库查询包括很多很有可能被 *** 黑客乱用的信息内容。上年12月，安全性研究者鲍勃·迪亚琴科（Bob Diachenko）发觉了一个配备不正确的Microsoft数据库查询，在其中包括超出2.五亿条与顾客和Microsoft适用 *** 商中间的会话相关的纪录。具备Internet联接的所有人都能够浏览该数据库查询。

Diachenko于12月29日发觉配备不正确的Microsoft数据库查询，一天后，BinaryEdge百度搜索引擎对其开展了数据库索引，该模块扫描仪了Web上的公共性Internet数据信息。获知此曝露后，Microsoft于12月31日关掉了对该数据库查询的公共性浏览。

储存在未受维护的ElasticSearch数据库查询中的2.五亿条纪录包括很多信息内容，比如顾客的电子邮箱详细地址，IP地址，顾客的部位，商业秘密內部注解，实例序号，解决 *** 和备注名称，Microsoft适用 *** 商电子邮箱及其CSS申明表明和案子。

“大家的调研已明确，2019年12月5日对数据库查询的 *** 信息安全组所做的变更包括配备不正确的安全性标准，这种标准使数据信息能够公布。在接到难题通告后，技术工程师于2019年12月31日对配备开展了恢复，以限定数据库查询并避免 没经受权的浏览。”微软公司在blog中表明，注重配备不正确仅限该特殊数据库查询。