Microsoft в очень хорошем настроении благодаря огромному успеху ChatGPT и экспоненциальному росту его использования. Поиск БингаОднако не все так радужно для компании.
Как обнаружили исследователи Wiz в январе прошлого года, в поисковой системе Bing имелась серьезная уязвимость, которая позволяла хакерам не только видеть условия поиска каждого пользователя, но и подделывать результаты и получать доступ к своим данным в службе Office 365 ( календари, сообщения в Teams, файлы в OneDrive, электронные письма в Outlook и т. д.).
Согласно The Verge, проблема заключалась в неправильной настройке облачной службы Azure (в частности, в Azure Active Directory) и разрешениях на множественный доступ, которые предоставляют некоторые приложения. Обычно разработчики приложений должны встраивать в свой код системы аутентификации для доступа пользователей к данным, но 25% таких приложений этого не делают.
Одним из таких приложений было Bing Trivia, которое позволяло исследователям Wiz входить в систему, используя свои собственные учетные записи Azure, для входа в систему управления контентом (CMS), из которой они могли видеть результаты поиска Bing в режиме реального времени и могли дразнить их по своему желанию.
В общей сложности они выявили более 1000 приложений и веб-сайтов с такой же уязвимостью и 31 января 2023 года уведомили Microsoft об устранении уязвимости. Это было сделано 20 марта 2023 года, и, к счастью, до сих пор не было обнаружено никаких серьезных злоупотреблений уязвимостью.
[via]
*Следуйте за ним Techgear.gr в Новостях Google, чтобы быть в курсе всех новых статей!