Mike Kuketz
23. September 2020 | 08:09 Uhr

Microsoft Bing Server leakt personenbeziehbare Daten

Vorab: Wir können gerne wieder darüber Diskutieren, was personenbeziehbare Daten sind. Für mich persönlich sind das jedenfalls Daten, die es einem Dritten ermöglichen, einen Personenbezug herzustellen.

Microsoft hat einen seiner Bing ElasticSearch-Server wohl unzureichend abgesichert. Dritte konnten sich Zugang zum Server verschaffen und Suchanfragen, Standortdaten, Gerätedetails etc. aus der Datenbank (Log-Dateien) auslesen. Microsoft selbst kann das natürlich auch tun.

Woher kommen die Daten? Laut dem Finder (Ata Hakcil) von der Microsoft Bing-App, die im Google Play Store und Apple Store angeboten wird. Er konnte seine Suchanfragen und weitere Informationen direkt wieder in den Log-Dateien finden. Zu den Daten zählen:

  • Suchanfragen inkl. Zeitstempel
  • Standortinformationen (genauer Standort im Umkreis auf 500m, falls der Zugriff auf den Standort via Berechtigungen erlaubt ist)
  • Gerätemodell
  • Betriebssystem
  • Drei eindeutige Identifier
  • ADID: Eindeutige ID für das Microsoft-Konto
  • Geräte-ID
  • Ein Geräte-Hash (Device Hash)
  • Liste der URLs, die die Benutzer aus den Suchergebnissen angeklickt haben
  • […]

    • Insgesamt belaufen sich die Datensätze auf 6,5 Terabyte. Pro Tag kamen wohl ca. 200 Gigabyte an Daten dazu. Laut dem Team rund um Ata Hakcil wurden Aufzeichnungen von Nutzern aus über 70 Ländern gefunden.

    Die unzureichende Absicherung des Servers hinterlässt schon einen schlechten Eindruck. Bemerkenswerter finde ich allerdings die Tatsache, dass sich (mit Aufwand) aus den Daten ein Personenbezug herstellen lässt.

    Es zeigt sich mal wieder, dass das ganze Sicherheitsbullshit-Bingo zur Erkennung von Bedrohungen bzw. Advanced Persistent Threats (APT) ungefähr so viel Bestand hat, wie eine Tüte Gummibärchen im Kindergarten. Ein schlecht abgesicherter Server bzw. eine Unachtsamkeit genügt schon, dass die Suchanfragen von Millionen von Menschen von Dritten einsehbar waren.

    Tipp: Zunächst die Microsoft Bing-App deinstallieren und dann eine vertrauenswürdige Suchmaschine aus der Empfehlungsecke für zukünftige Suchanfragen wählen.

    Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
    Ähnliche Beiträge
    Microsoft Edge
    17. Mai 2021

    Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4

    Der Browser Microsoft Edge ist ein schwerer Datenschutzunfall. Selbst im privaten Modus wird die komplette URL in die Microsoft-Cloud übermittelt.
    Microsoft Mythen
    21. September 2020

    Bildungswesen: Entlarvung der häufigsten Microsoft-Mythen

    Die meisten Argumente, die den Einsatz von Microsoft im Bildungswesen befürworten, entstehen aus Unwissenheit bzw. der Angst vor Neuem.
    Network Log
    14. August 2014

    Network Log – Android ohne Google?! Teil5

    Your phone your data - Mittels Network Log können wir ungewollte Netzwerkverbindungen identifizieren
    F-Droid
    28. Juni 2017

    F-Droid und App-Alternativen – Android unter Kontrolle Teil3

    F-Droid ist ein verbraucherfreundlicher Android App-Store, in dem datenschutzfreundliche Apps angeboten werden.
    F-Droid & AFWall+
    22. Mai 2014

    F-Droid und AFWall+ – Android ohne Google?! Teil4

    Your phone your data - Den ungewollten Informationsabfluss von sensiblen Daten mit der AFWall+ verhindern
    Wissenswertes

    Immer aktuell

    Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


    Bleib aktuell ➡

    Weitersagen

    Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.