rarrarorro/Shutterstock (Licenseret)
Hacker afslører bagdør, der kan ændre Bings topsøgeresultater
Microsoft fiksede problemet og tildelte forskeren $40.000.
En sårbarhed i Microsofts Bing-søgemaskine gjorde det muligt for en sikkerhedsforsker at ændre søgeresultaterne for millioner af brugere.
Fejlen, som siden er blevet rettet af Microsoft, blev for nylig afsløret af Hillai Ben-Sasson, en forsker hos cloud-sikkerhedsfirmaet Wiz. Udover at ændre søgeresultaterne afslørede Ben-Sasson også, at sikkerhedsfejlen gav ham adgang til millioner af Office 365-konti.
'Jeg hackede ind i et @Bing CMS, der gjorde det muligt for mig at ændre søgeresultater og overtage millioner af @Office365-konti,' skrev han. 'Hvordan gjorde jeg det? Nå, det hele startede med et enkelt klik i @Azure...'
Jeg hackede ind i en @Bing CMS, der gjorde det muligt for mig at ændre søgeresultater og overtage millioner af @Office365 regnskaber.
Hvordan gjorde jeg det? Nå, det hele startede med et simpelt klik ind @Azure … 👀
Dette er historien om #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) 29. marts 2023
I en blogindlæg i sagen forklarer Ben-Sasson, hvordan en konfigurationsmulighed i Microsofts cloud computing-tjeneste Azure gav ham muligheden for at klikke på 'et simpelt afkrydsningsfelt', der tillod enhver og alle brugere at logge ind på et administratorpanel.
'Min research startede, da vores forskningsteam på @wiz_io først bemærkede en mærkelig konfiguration i Azure,' tweetede han. 'Et enkelt afkrydsningsfelt er alt, der adskiller en app fra at blive 'multi-lejer' - hvilket som standard tillader ALLE BRUGERE at logge ind.'
Jeg fandt en Microsoft-app konfigureret som denne, og... loggede lige ind 🤷🏻♂️
— Hillai Ben-Sasson (@hillai) 29. marts 2023
Min bruger fik straks adgang til denne 'Bing Trivia'-side. Lad ikke navnet narre dig - det styrer meget mere end bare trivia. Faktisk, som jeg kom til at finde ud af, kan den styre FAKTISKE SØGERESULTATER 🤯 pic.twitter.com/fhBvwtCQ7q
Ben-Sasson fortsatte med at teste sårbarheden og var i stand til at ændre topresultaterne på Bing for alle brugere, der søgte efter de 'bedste lydspor.' På typisk hacker-manér ændrede forskeren det mest populære soundtrack fra 2021-filmen Klit til filmen fra 1995 Hackere .
'Jeg testede denne teori ved at vælge nøgleordet 'bedste lydspor' og skifte det første resultat fra 'Dune (2021)' til min personlige favorit, 'Hackers (1995),'' tilføjede han. “Jeg var overrasket over at se dette resultat med det samme vises på http://Bing.com!”
For ikke at blive overgået demonstrerede Ben-Sasson yderligere, hvordan han kunne få Outlook-e-mails, kalendere, Teams-beskeder, OneDrive-filer og mere fra enhver af Bings mere end 100 millioner aktive daglige brugere.
The Daily Dot kontaktede Ben-Sasson for en kommentar, men modtog ikke et svar inden pressetid.
Efter at have advaret Microsoft om sårbarheden, udsendte teknologivirksomheden hurtigt en patch og tildelte forskeren og hans team $40.000 for at finde fejlen. Ben-Sasson siger, at prisen vil blive doneret til velgørenhed.
Bing, som længe er blevet latterliggjort i forhold til Google, har oplevet en betydelig stigning i brugere, siden den integrerede OpenAIs chatbot ChatGPT i sin tjeneste.
Vi gennemgår nettet, så du ikke behøver det.
Tilmeld dig Daily Dot-nyhedsbrevet for at få det bedste og det værste af internettet i din indbakke hver dag. Lad mig læse den først
