Bing se está convirtiendo en un buscador muy popular. Y el motivo principal es su alianza con OpenAI y su GPT4, la IA que ha integrado Microsoft y que ha supuesto un gran avance para diversos sectores.
Sin embargo, no es oro todo lo que reluce. Por un lado, la IA de Bing tendrá publicidad muy pronto. Además, Microsoft tuvo que hacer frente a una grave vulnerabilidad que afectó a su buscador.
Afortunadamente, y según informan desde el blog oficial de la empresa americana, Microsoft ha logrado solucionar este serio problema que afectaba a Bing, permitiendo modificar los resultados de búsqueda. ¿Lo más preocupante? Que también daba acceso a información personal de los usuarios.
Por suerte, la vulneración ha dejado de ser una amenaza para el buscador de Microsoft. El descubridor de esta peligrosa vulnerabilidad fue un investigador de la compañía de seguridad Wiz, Hillai Ben-Sasson, quien la encontró en enero. Por supuesto, avisó rápidamente a Microsoft, que finalmente acaba de publicar una actualización en el blog oficial de la empresa en el que anuncia la corrección realizada y las medidas adicionales de seguridad tomadas.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) March 29, 2023
“Microsoft ha arreglado un error de configuración de autorización para aplicaciones multi-tenant que usan Azure AD, descubierto inicialmente por Wiz, e informado a Microsoft, que afectó a un pequeño número de nuestras aplicaciones internas. La configuración incorrecta permitía a partes externas leer y escribir en las aplicaciones afectadas.” Indica la empresa con sede en Redmond.
Además, el investigador que ha hallado esta vulnerabilidad ha sido obsequiado con 40.000 dólares por parte de Microsoft, que agradece su colaboración por detectar y solucionar dicho problema.
Ben-Sasson ha detallado un problema que se ha encontrado en el buscador Bing, el cual permitía acceder al sistema de gestión de contenidos del buscador para manipular los resultados de búsqueda. La preocupación es que, aparte de cambiar las palabras clave relacionadas con la búsqueda, se podía alterar todo tipo de resultados. Lo más grave de todo es que el investigador de seguridad descubrió que este fallo hacía que Bing fuera vulnerable a los ataques XSS, lo que permitía acceder a los datos personales de los usuarios de Office365 que ingresaban su identificador en Bing.
De esta manera, se podía acceder a una gran cantidad de información, como correos electrónicos de Outlook, el calendario, los mensajes de Teams y los archivos almacenados en OneDrive, entre otros elementos. Esto supone un gran riesgo para la seguridad, ya que una vulnerabilidad de este tipo podría ser aprovechada por un estado-nación interesado en influir en la opinión pública o por un hacker motivado por intereses financieros, según Ami Luttwak, jefe de tecnología en Wiz.