Pesquisadores encontraram falhas de segurança no Bing que permitiriam que hackers alterassem os resultados da pesquisa

O Bing da Microsoft tem recebido muito mais atenção nos últimos meses do que na maior parte da vida do mecanismo de busca, graças ao lançamento do Bing Chat . No entanto, antes da revelação do chatbot, uma empresa de pesquisa de segurança chamada Wiz encontrou uma grande falha de segurança no Bing que permitiria que hackers obtivessem informações pessoais e até alterassem os resultados da pesquisa.

Hillai Ben-Sasson, da Wiz, postou um tópico no Twitter com as descobertas da equipe esta semana, conforme relatado pelo The Wall Street Journal . Tudo começou em janeiro, quando Wiz encontrou uma “configuração estranha no Azure”. Ben-Sasson foi capaz de explorar essa configuração para entrar no recurso Bing Trivia da Microsoft. No entanto, ele logo descobriu que poderia usar esse recurso para realmente fazer alterações nos resultados de pesquisa do Bing.

A falha também permitiu que o Wiz “emitisse tokens do Office para qualquer usuário conectado”. Como o diretor de tecnologia da Wiz, Ami Luttwak, disse ao The Wall Street Journal: “Poderia ter sido um estado-nação tentando influenciar a opinião pública ou um hacker motivado financeiramente”.

A boa notícia é que a Microsoft corrigiu os problemas relatados por Wiz no Azure e no Bing. Em sua própria postagem no blog sobre esse assunto , afirmou:

O Azure AD foi atualizado para parar de emitir tokens de acesso para clientes que não estão registrados nos locatários de recursos. Isso evita que esse problema aconteça mesmo se um aplicativo não lidar corretamente com a verificação de autorização.

Além disso, Ben-Sasson afirmou no Twitter que a Microsoft concedeu ao Wiz uma recompensa de $ 40.000 por descobrir e relatar as falhas.