نقص امنیتی بزرگ بینگ امکان تغییر نتایج جستجو و دسترسی به اطلاعات اوت‌لوک را فراهم می‌کرد

gykuglui;io;.JPG

موتور جستجوی بینگ مایکروسافت در چند ماه گذشته با وجود نسخه‌ای پیشرفته‌تر از ChatGPT موردتوجه بسیاری از کاربران قرار گرفته است. بااین‌حال، اکنون مشخص شده که پیش از راه‌اندازی این چت‌بات، یک شرکت تحقیقاتی امنیتی به نام Wiz یک نقص امنیتی بزرگ در بینگ را پیدا کرده بود که به هکرها اجازه می‌داد اطلاعات شخصی کاربران را به‌دست آورند و حتی نتایج جستجو آن‌ها را تغییر دهند.

طبق گزارش وال استریت ژورنال، «هیلای بن ساسون» از شرکت Wiz، در یک رشته توییت، نتایج و یافته‌های تیم خود را منتشر کرد. طبق این رشته توییت، تیم Wiz در ماه ژانویه «یک پیکربندی عجیب در Azure» پیدا کرد. بن ساسون ادعا می‌کند که موفق شده است از این پیکربندی برای ورود به Bing Trivia مایکروسافت استفاده کند. او در ادامه نیز متوجه شد که می‌تواند از این ویژگی برای ایجاد تغییراتی در نتایج جستجوی بینگ استفاده کند.

Bing-exploit.jpg.webp
-

دریافت اطلاعات شخصی کاربران بینگ

این نقص همچنین به Wiz اجازه داد تا «برای کاربران آفیس توکن صادر کند»؛ به این معنی که هکرها می‌توانند از این نقص برای دریافت اطلاعات شخصی کاربران بینگ، ازجمله ایمیل‌های Outlook، چت‌های Teams و موارد دیگری سوءاستفاده کنند.

بااین‌حال، مایکروسافت اکنون مشکلات گزارش‌شده توسط Wiz برای Azure و Bing را برطرف کرده است. غول فناوری در پست وبلاگ خود درباره آن نوشت:

«Azure AD به‌روزرسانی‌ شده است تا صدور توکن‌های دسترسی به مشتریانی که اطلاعات آن‌ها در منابع ما ثبت‌نشده را متوقف کند. با وجود این به‌روزرسانی، حتی اگر یک برنامه به‌درستی بررسی مجوز را انجام نداده باشد نیز از بروز این مشکل جلوگیری می‌کند.»

علاوه‌براین، بن ساسون در توییت دیگری اعلام کرد که مایکروسافت مبلغ 40 هزار دلار جایزه برای کشف و گزارش این مشکل به شرکت Wiz اعطا کرده است.

منبع خبر: wsj

Screenshot_20211214-203627_ToonMe.jpg

پویان معصومی - کارشناس تولید محتوا

فارغ التحصیل رشته مهندسی تکنولوژی نرم افزار هستم و کار اصلی بنده نویسند‌گی و تولید محتوا است.

اگر پیشنهاد یا انتقادی داشتی با من در ارتباط باش.


0 نظر درباره‌ی این پست نوشته شده است.

ثبت نظر