Bing от Microsoft за последние пару месяцев привлек гораздо больше внимания, чем за все время существования поисковой системы, благодаря запуску Bing Chat. Однако до раскрытия чат-бота исследовательская компания Wiz обнаружила в Bing серьезную уязвимость, которая позволила бы хакерам получить личную информацию и даже изменить результаты поиска.
Хиллай Бен-Сассон из Wiz опубликовал пост в твиттере с выводами команды, как сообщает The Wall Street Journal это началось в январе, когда Wiz обнаружил «странную конфигурацию в Azure». Бен-Сассон смог использовать эту конфигурацию, чтобы получить доступ к функции Microsoft Bing Trivia. Однако вскоре он узнал, что может использовать эту функцию для внесения изменений в результаты поиска Bing.
Уязвимость также позволяла Wiz «выдавать токены Office для любого вошедшего в систему пользователя». Это означает, что хакеры могли использовать этот эксплойт для получения личной информации от пользователей Bing, включая электронную почту Outlook, чаты Teams и многое другое. Как сказал The Wall Street Journal главный технический директор Wiz Ами Луттвак, «это могло быть национальное государство, пытающееся повлиять на общественное мнение, или хакер, мотивированный деньгами».
Хорошей новостью является то, что Microsoft исправила проблемы, о которых сообщила Wiz в Azure и Bing:
Azure AD был обновлен, чтобы прекратить выдачу маркеров доступа клиентам, которые не зарегистрированы в арендаторах ресурсов. Это предотвращает возникновение этой проблемы, даже если приложение неправильно обрабатывает проверку авторизации.
Кроме того, Бен-Сассон заявил в Twitter, что Microsoft наградила Wiz наградой в размере 40 000 долларов за обнаружение недостатков и сообщение о них.