WizCase专家发现了一个不受保护的Elasticsearch服务器，其中包含与Microsoft Bing移动应用程序用户有关的TB级数据。

该数据库应该受到密码保护。但是，9月12日，WizCase在线安全团队发现身份验证已在大约两天前从数据库中删除，并将其内容公开给Internet上的每个人。

识别泄漏的白帽黑客Ata Hakcil 通过安装应用程序并运行WizCase搜索，可以确认Elasticsearch服务器属于Microsoft的Bing移动应用程序。

“在浏览服务器时，他发现了他的信息，包括搜索查询，设备详细信息和GPS坐标，证明了暴露的数据直接来自Bing移动应用程序，” WizCase的专家透露。

公开的服务器旨在记录与Android和iOS Bing移动应用程序有关的数据。WizCase指出，仅在Google Play上，该软件的下载量就超过1000万，每天记录数百万次搜索。

Hakcil和他的团队注意到，暴露的6.5 TB服务器每天接收多达200 GB的数据。

“基于庞大的数据量，可以安全地推测在暴露服务器的情况下使用移动应用程序进行Bing搜索的任何人都处于危险之中。专家说：“我们看到了来自70多个国家/地区的搜索记录。”

在服务器上找到的数据包括搜索词（以纯文本格式存储），精确位置（如果在应用程序中启用–已存储500米范围内的坐标），精确搜索时间，Firebase通知令牌，优惠券数据，从搜索结果，设备型号和操作系统访问的URL的部分列表，以及分配给用户的三个ID号：ADID（Microsoft帐户的唯一ID），deviceID和devicehash。

WizCase表示，微软已于9月13日收到有关裸露服务器的警报，其安全团队已于9月16日对其进行保护。

在暴露的时间范围内，但是，在所谓的Meow攻击中，数据库至少有两次目标，攻击者在其中删除了不安全的数据库。在针对Bing数据库的Meow攻击之一中，几乎所有用户数据都被删除。

专家透露：“当我们在12日发现服务器时，自攻击以来已收集了1亿条记录。” 9月14日观察到第二次喵喵袭击。

微软发言人在回应《安全周刊》的询问时证实了这一事件：“我们修复了一个配置错误，该错误导致暴露了少量搜索查询数据。经过分析，我们确定所公开的数据是有限的，并且无法识别。”