rarrarorro/Shutterstock (Αδειούχος)
Ο χάκερ αποκαλύπτει μια κερκόπορτα που μπορεί να αλλάξει τα κορυφαία αποτελέσματα αναζήτησης του Bing
Η Microsoft επιδιορθώνει το ζήτημα και απένειμε στον ερευνητή 40.000 δολάρια.
Μια ευπάθεια στη μηχανή αναζήτησης Bing της Microsoft επέτρεψε σε έναν ερευνητή ασφάλειας να αλλάξει τα αποτελέσματα αναζήτησης για εκατομμύρια χρήστες.
Το ελάττωμα, το οποίο έκτοτε επιδιορθώθηκε από τη Microsoft, αποκαλύφθηκε πρόσφατα από τον Hillai Ben-Sasson, ερευνητή στην εταιρεία ασφάλειας cloud Wiz. Εκτός από την αλλαγή των αποτελεσμάτων αναζήτησης, ο Ben-Sasson αποκάλυψε επίσης ότι το σφάλμα ασφαλείας του παρείχε πρόσβαση σε εκατομμύρια λογαριασμούς του Office 365.
«Πήρα εισβολή σε ένα @Bing CMS που μου επέτρεψε να αλλάξω τα αποτελέσματα αναζήτησης και να κατακτήσω εκατομμύρια λογαριασμούς @Office365», έγραψε. «Πώς το έκανα; Λοιπόν, όλα ξεκίνησαν με ένα απλό κλικ στο @Azure…”
χακάρισα σε ένα @Bing CMS που μου επέτρεψε να αλλάξω τα αποτελέσματα αναζήτησης και να αναλάβω εκατομμύρια @Office365 λογαριασμούς.
Πώς το έκανα; Λοιπόν, όλα ξεκίνησαν με ένα απλό κλικ μέσα @Γαλανός … 👀
Αυτή είναι η ιστορία του #Η μεγάλη έκρηξη 🧵⬇️ pic.twitter.com/9pydWvHhJs
— Hillai Ben-Sasson (@hillai) 29 Μαρτίου 2023
Σε ένα ανάρτηση σχετικά με το θέμα, ο Ben-Sasson εξηγεί πώς μια επιλογή διαμόρφωσης στην υπηρεσία cloud computing της Microsoft Azure του έδωσε τη δυνατότητα να κάνει κλικ στο 'ένα απλό πλαίσιο ελέγχου' που επέτρεπε σε όλους τους χρήστες να συνδεθούν σε έναν πίνακα διαχειριστή.
«Η έρευνά μου ξεκίνησε όταν η ερευνητική μας ομάδα στο @wiz_io παρατήρησε για πρώτη φορά μια περίεργη διαμόρφωση στο Azure», έγραψε στο Twitter. 'Ένα μεμονωμένο πλαίσιο ελέγχου είναι το μόνο που διαχωρίζει μια εφαρμογή από το να γίνει 'πολλαπλός μισθωτής' – το οποίο από προεπιλογή επιτρέπει σε ΟΛΟΥΣ ΤΟΥΣ ΧΡΗΣΤΕΣ να συνδεθούν.'
Βρήκα μια εφαρμογή της Microsoft διαμορφωμένη έτσι και… μόλις συνδέθηκα 🤷🏻♂️
— Hillai Ben-Sasson (@hillai) 29 Μαρτίου 2023
Ο χρήστης μου έλαβε αμέσως πρόσβαση σε αυτήν τη σελίδα 'Bing Trivia'. Μην αφήσετε το όνομα να σας ξεγελάσει – ελέγχει πολλά περισσότερα από απλά ασήμαντα πράγματα. Στην πραγματικότητα, όπως κατάλαβα, μπορεί να ελέγξει τα ΠΡΑΓΜΑΤΙΚΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΑΝΑΖΗΤΗΣΗΣ 🤯 pic.twitter.com/fhBvwtCQ7q
Ο Ben-Sasson συνέχισε να δοκιμάζει την ευπάθεια και μπόρεσε να αλλάξει τα κορυφαία αποτελέσματα στο Bing για όσους χρήστες αναζητούσαν τα «καλύτερα soundtrack». Με τυπικό τρόπο χάκερ, ο ερευνητής άλλαξε το πιο δημοφιλές soundtrack από την ταινία του 2021 Αμμόλοφος στην ταινία του 1995 Χάκερ .
«Δοκίμασα αυτή τη θεωρία επιλέγοντας τη λέξη-κλειδί «καλύτερης μουσικής επένδυσης» και αλλάζοντας το πρώτο αποτέλεσμα από το «Dune (2021)» στο προσωπικό μου αγαπημένο, «Hackers (1995)»», πρόσθεσε. «Έμεινα έκπληκτος που είδα αυτό το αποτέλεσμα να εμφανίζεται αμέσως στο http://Bing.com!&rdquo.
Ο Ben-Sasson έδειξε περαιτέρω πώς μπορούσε να αποκτήσει μηνύματα ηλεκτρονικού ταχυδρομείου, ημερολόγια, μηνύματα Teams, αρχεία OneDrive και άλλα του Outlook από οποιονδήποτε από τους περισσότερους από 100 εκατομμύρια ενεργούς καθημερινούς χρήστες του Bing.
Η Daily Dot επικοινώνησε με τον Ben-Sasson για σχόλιο, αλλά δεν έλαβε απάντηση μέχρι την ώρα του Τύπου.
Αφού ειδοποίησε τη Microsoft για την ευπάθεια, η εταιρεία τεχνολογίας εξέδωσε γρήγορα μια ενημέρωση κώδικα και απένειμε στον ερευνητή και την ομάδα του 40.000 δολάρια για την εύρεση του σφάλματος. Ο Ben-Sasson λέει ότι το βραβείο θα δοθεί σε φιλανθρωπικό σκοπό.
Η Bing, η οποία εδώ και καιρό γελοιοποιήθηκε σε σύγκριση με την Google, έχει δει σημαντική αύξηση στους χρήστες από τότε που ενσωμάτωσε το chatbot ChatGPT του OpenAI στην υπηρεσία της.
Ανιχνεύουμε τον ιστό για να μην χρειάζεται.
Εγγραφείτε στο ενημερωτικό δελτίο Daily Dot για να λαμβάνετε τα καλύτερα και τα χειρότερα από το διαδίκτυο στα εισερχόμενά σας κάθε μέρα. Να το διαβάσω πρώτα
