W ostatnim czasie Bing przyciąga prawdopodobnie więcej uwagi niż przez większość czasu od jego uruchomienia. Jeszcze zanim jednak Bing Chat stał się dostępny, badacze zabezpieczeń z firmy Wiz znaleźli podatność bezpieczeństwa w Bing, która umożliwiała hakerom uzyskiwanie danych osobowych, a nawet modyfikowanie wyników wyszukiwania.
Hillai Ben-Sasson z Wiz opublikował w tym tygodniu wątek na Twitterze, w którym opisuje odkrycia firmy. Zaczęło się to w styczniu, gdy Wiz znalazł "dziwną konfigurację w Azure". Sasson był w stanie exploitować tę konfigurację, aby dostać się do funkcji Bing Trivia. Wkrótce potem odkrył, że może używać tej funkcji, aby wprowadzać zmiany do wyników wyszukiwania w CMS Bing.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
— Hillai Ben-Sasson (@hillai) March 29, 2023
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs
Podatność "BingBang" umożliwiła też badaczom wydawanie tokenów pakietu Office dla każdego zalogowanego użytkownika. Oznacza to, że hakerzy mogli wykorzystać ten exploit do uzyskania danych osobowych użytkowników Bing, w tym wiadomości e-mail z Outlook, czatów Teams i nie tylko. Jak powiedział Ami Luttwak z Wiz, mogli to być hakerzy zatrudnieni przez państwo [nation-state] próbujące wpłynąć na opinię publiczną lub haker motywowany finansowo. Prawdopodobnie jednak luka nie była atakowana przez osoby o złych zamiarach. Dobra wiadomość jest taka, że Microsoft zajął się już jej załataniem:
Azure AD został zaktualizowany, aby powstrzymać wydawanie tokenów dla klientów, którzy nie są zarejestrowani we wdrożeniach zasobów. Zapobiega to występowaniu tego problemu, nawet jeśli aplikacja nieprawidłowo obsłuży sprawdzenie autoryzacji.
Ben-Sasson ujawnił też, że Microsoft wypłacił firmie Wiz nagrodę w wysokości 40 tysięcy dolarów za odkrycie i zgłoszenie podatności.
341f31d.png)