포스팅 내용

국내외 보안동향

마이크로소프트 백엔드 서버, Bing 데이터 유출해

Microsoft secures backend server that leaked Bing data

 

마이크로소프트의 한 IT 직원이 Bing의 백엔드 서버 중 하나를 실수로 온라인에 노출시킨 것으로 나타났습니다. 마이크로소프트로서는 드물게 발생하는 보안 사고입니다.

 

이 서버는 WizCase의 보안 연구원인 Ata Hakcil이 발견해 지난 주 ZDNet에만 공유했습니다.

 

Hakcil의 조사에 따르면 해당 서버는 Bing 검색 엔진의 기록 130억 건이 포함된 6.5TB 이상의 로그 파일을 노출하고 있었습니다.

 

Wizcase의 연구원은 Bing 안드로이드 앱에서 자신이 실행한 검색 쿼리를 서버 로그에서 찾아 자신이 발견한 데이터를 확인할 수 있었습니다.

 

 

<이미지 출처: https://www.wizcase.com/blog/bing-leak-research/>

 

 

Hakcil910~ 16일 사이 해당 서버가 온라인에 노출되었다고 밝혔습니다. 그는 16MSRC(Microsoft Security Response Center)에 노출 사실을 통보했으며 이후 서버는 비밀번호로 보호되었습니다.

 

지난 주 마이크로소프트 측에 연락을 취한 결과, 마이크로소프트는 자신의 실수를 인정했습니다.

 

마이크로소프트는 ZD Net 측에 아래와 같이 답변했습니다.

 

검색 쿼리 데이터를 소량 노출 시킨 잘못된 구성을 수정하였습니다.”


분석 결과, 노출된 데이터는 제한적이고 익명화된 상태였음을 확인했습니다.”

 

ZDNet은 해당 서버가 비밀번호가 설정되지 않은 채 온라인에 노출된 기간 동안 서버에 접근하여 조사한 결과, 어떠한 개인정보도 유출되지 않았음을 확인했다고 밝혔습니다.

 

대신 검색 쿼리, 사용자 시스템 정보(기기, OS, 브라우저 등), 지리적 위치 정보, 다양한 토큰, 해시, 쿠폰코드 등 기술적 세부사항이 노출되었습니다.