Ευπάθεια στο Microsoft Bing επέτρεπε την αλλαγή των αποτελεσμάτων αναζήτησης και όχι μόνο

Η Microsoft βρίσκεται σε ένα πολύ καλό φεγγάρι χάριν στην τεράστια επιτυχία που σημειώνει το ChatGPT και την εκθετική άνοδο στην χρήση του Bing Search, ωστόσο, δεν είναι όλα ρόδινα για την εταιρεία.

Όπως ανακάλυψαν οι ερευνητές της Wiz τον περασμένο Ιανουάριο, υπήρχε ένα πολύ σημαντικό κενό ασφαλείας στη μηχανή αναζήτησης Bing που επέτρεπε στους hackers όχι μόνο να δουν τους όρους αναζήτησης του κάθε χρήστη, αλλά και να πειράξουν τα αποτελέσματα και να αποκτήσουν πρόσβαση στα δεδομένα τους στην υπηρεσία Office 365 (ημερολόγια, μηνύματα στο Teams, αρχεία στο OneDrive, emails στο Outlook κλπ.).

Σύμφωνα με την ιστοσελίδα The Verge, το πρόβλημα ήταν μια κακή ρύθμιση στην cloud υπηρεσία Azure (συγκεκριμένα στο Azure Active Directory) και στις πολλαπλές άδειες πρόσβασης που δίνουν ορισμένες εφαρμογές. Κανονικά οι δημιουργοί των εφαρμογών θα πρέπει να ενσωματώνουν στον κώδικα τους συστήματα πιστοποίησης των χρηστών που αποκτούν πρόσβαση στα δεδομένα, όμως, το 25% αυτών των εφαρμογών δεν διαθέτουν κάτι τέτοιο.

Μία από αυτές τις εφαρμογές ήταν το Bing Trivia που επέτρεψε στους ερευνητές της Wiz να συνδεθούν χρησιμοποιώντας τους δικούς τους λογαριασμούς Azure για να εισέλθουν σε ένα σύστημα διαχείρισης περιεχομένου (CMS) απ’ όπου έβλεπαν σε πραγματικό χρόνο τα αποτελέσματα αναζήτησης της μηχανής Bing και μπορούσαν να τα πειράξουν όπως επιθυμούσαν.

Συνολικά εντόπισαν περισσότερες από 1000 εφαρμογές και ιστοσελίδες με την ίδια ευπάθεια και ενημέρωσαν τη Microsoft στις 31 Ιανουαρίου 2023 για να διορθώσει την ευπάθεια. Αυτό έγινε στις 20 Μαρτίου 2023 και μέχρι στιγμής δεν έχει έρθει στη δημοσιότητα, ευτυχώς, κάποια σοβαρή κατάχρηση της ευπάθειας.

[via]