“Magic links” can end up in Bing search results — rendering them useless.

README.md

@@ -5,12 +5,16 @@ To moja stale aktualizowana lista artykułów na temat przewinień wielkich korp
 - 2022.05.17 [Total Commander forced to stop letting you install APKs](google/total-commander-forced-to-stop-letting-you-install-apks.md) | [tłumaczenie](google/pl/total-commander-forced-to-stop-letting-you-install-apks.md)
 - 2022.05.07 [Your Google Account has been disabled because of a python code!](google/your-google-account-has-been-disabled-because-of-a-python-code.md) | [tłumaczenie](google/pl/your-google-account-has-been-disabled-because-of-a-python-code.md)
 - 2022.05.02 [Dark Pattern: How Youtube Makes Sure You Don’t Always “Skip Ad”](google/dark-pattern-how-youtube-makes-sure-you-don_t-always-skip-ad.md)
-- **2018.05.21 [Google już nawet nie udaje. Słynne „don't be evil” zepchnięte na margines](google/google-dont-be-evil.md)**
+- 2018.05.21 [Google już nawet nie udaje. Słynne „don't be evil” zepchnięte na margines](google/google-dont-be-evil.md)
 
 ## Apple
 
 - 2022.05.17 [Your iPhone Is Vulnerable to a Malware Attack Even When It’s Off](apple/your-iphone-is-vulnerable-to-a-malware-attack-even-when-it_s-off.md)
 
+## Microsoft
+
+- **2022.06.27 [“Magic links” can end up in Bing search results — rendering them useless.](microsoft/magic-links-can-end-up-in-bing-search-results-rendering-them-useless.md)**
+
 ## Facebook
 
 - 2022.06.11 [Tell HN: My wife was banned from WhatsApp without reason or recourse](facebook/tell-hn-my-wife-was-banned-from-whatsApp-without-reason-or-recourse.md) | [Tłumaczenie](facebook/pl/tell-hn-my-wife-was-banned-from-whatsApp-without-reason-or-recourse.md)

apple/your-iphone-is-vulnerable-to-a-malware-attack-even-when-it_s-off.md

@@ -2,7 +2,7 @@
 
 **Researchers found a way to exploit the tech that enables Apple’s Find My feature, which could allow attackers to track location when a device is powered down.**
 
-źródło: <https://www.wired.com/story/iphone-find-my-malware-attack-vulnerability> ![google](../google/icon.png) ![amazon](../amazon/icon.png)
+źródło: <https://www.wired.com/story/iphone-find-my-malware-attack-vulnerability> ![google](../google/icon.png) ![facebook](../facebook/icon.png) ![amazon](../amazon/icon.png) ![twitter](../twitter/icon.png) ![linkedin](../linkedin/icon.png) ![tiktok](../tiktok/icon.png)
 
 użytkownik: *Dan Goodin*
 
@@ -24,9 +24,9 @@ The research is the first — or at least among the first — to study the risk
 
 They added: “Design of LPM features seems to be mostly driven by functionality, without considering threats outside of the intended applications. Find My after power off turns shutdown iPhones into tracking devices by design, and the implementation within the Bluetooth firmware is not secured against manipulation.”
 
-The findings have limited real-world value, since infections required first jailbreaking an iPhone, which in itself is a difficult task, particularly in an adversarial setting. Still, targeting the always-on feature in iOS could prove handy in post-exploit scenarios by malware such as [Pegasus](https://arstechnica.com/information-technology/2021/12/iphones-of-us-diplomats-hacked-using-0-click-exploits-from-embattled-nso) ![google](../google/icon.png) ![amazon](../amazon/icon.png), the sophisticated smartphone exploit tool from Israel-based NSO Group, which governments worldwide routinely employ to spy on adversaries.
+The findings have limited real-world value, since infections required first jailbreaking an iPhone, which in itself is a difficult task, particularly in an adversarial setting. Still, targeting the always-on feature in iOS could prove handy in post-exploit scenarios by malware such as [Pegasus](https://arstechnica.com/information-technology/2021/12/iphones-of-us-diplomats-hacked-using-0-click-exploits-from-embattled-nso) ![google](../google/icon.png) ![facebook](../facebook/icon.png) ![amazon](../amazon/icon.png) ![twitter](../twitter/icon.png) ![linkedin](../linkedin/icon.png) ![tiktok](../tiktok/icon.png), the sophisticated smartphone exploit tool from Israel-based NSO Group, which governments worldwide routinely employ to spy on adversaries.
 
-It may also be possible to infect the chips in the event hackers discover security flaws that are susceptible to over-the-air exploits similar to [this one](https://arstechnica.com/information-technology/2019/08/new-attack-exploiting-serious-bluetooth-weakness-can-intercept-sensitive-data) ![google](../google/icon.png) ![amazon](../amazon/icon.png) that worked against Android devices.
+It may also be possible to infect the chips in the event hackers discover security flaws that are susceptible to over-the-air exploits similar to [this one](https://arstechnica.com/information-technology/2019/08/new-attack-exploiting-serious-bluetooth-weakness-can-intercept-sensitive-data) ![google](../google/icon.png) ![facebook](../facebook/icon.png) ![amazon](../amazon/icon.png) ![twitter](../twitter/icon.png) ![linkedin](../linkedin/icon.png) ![tiktok](../tiktok/icon.png) that worked against Android devices.
 
 Besides allowing malware to run while the iPhone is turned off, exploits targeting LPM could also allow malware to operate with much more stealth since LPM allows firmware to conserve battery power. And, of course, firmware infections are extremely difficult to detect since it requires significant expertise and expensive equipment.
 
@@ -36,4 +36,4 @@ Ultimately, Find My and other features enabled by LPM help provide added securit
 
 “Hardware and software attacks similar to the ones described have been proven practical in a real-world setting, so the topics covered in this paper are timely and practical,” said John Loucaides, senior vice president of strategy at firmware security firm Eclypsium. “This is typical for every device. Manufacturers are adding features all the time, and with every new feature comes a new attack surface.”
 
-This story originally appeared on [Ars Technica](https://arstechnica.com/information-technology/2022/05/researchers-devise-iphone-malware-that-runs-even-when-device-is-turned-off) ![google](../google/icon.png) ![amazon](../amazon/icon.png).
+This story originally appeared on [Ars Technica](https://arstechnica.com/information-technology/2022/05/researchers-devise-iphone-malware-that-runs-even-when-device-is-turned-off) ![google](../google/icon.png) ![facebook](../facebook/icon.png) ![amazon](../amazon/icon.png) ![twitter](../twitter/icon.png) ![linkedin](../linkedin/icon.png) ![tiktok](../tiktok/icon.png).

google/google-dont-be-evil.md

@@ -1,6 +1,6 @@
 ## Google już nawet nie udaje. Słynne „don't be evil” zepchnięte na margines
 
-źródło: <https://spidersweb.pl/2018/05/google-dont-be-evil-nie-badz-zly> ![google](../google/icon.png)
+źródło: <https://spidersweb.pl/2018/05/google-dont-be-evil-nie-badz-zly> ![google](../google/icon.png) ![amazon](../amazon/icon.png)
 
 użytkownik: *Maciej Gajewski*
 
@@ -28,7 +28,7 @@ Nowa wersja kodeksu brzmi… no cóż, bardzo *firmowo*. Zawiera ogólne wytyczn
 
 #### Zakusy monopolistyczne.
 
-Google już od dawna nie różni się od innych wielkich korporacyjnych molochów jeśli chodzi o wybiórcze podejście do etyki. Firma [została już ukarana](https://spidersweb.pl/2017/06/google-kontra-komisja-europejska) ![google](../google/icon.png) przez władze Unii Europejskiej karą 2,7 mld euro za nadużywanie swojej monopolistycznej pozycji na terenie UE i pozycjonowanie w Wyszukiwarce Google swoich usług wyżej od konkurencyjnych, świadomie utrudniając ekspozycję usług konkurencyjnych.
+Google już od dawna nie różni się od innych wielkich korporacyjnych molochów jeśli chodzi o wybiórcze podejście do etyki. Firma [została już ukarana](https://spidersweb.pl/2017/06/google-kontra-komisja-europejska) ![google](../google/icon.png) ![amazon](../amazon/icon.png) przez władze Unii Europejskiej karą 2,7 mld euro za nadużywanie swojej monopolistycznej pozycji na terenie UE i pozycjonowanie w Wyszukiwarce Google swoich usług wyżej od konkurencyjnych, świadomie utrudniając ekspozycję usług konkurencyjnych.
 
 #### O Google trzeba pisać dobrze. Zawsze.
 
@@ -40,11 +40,11 @@ Google jest znany ze swojej kreatywnej księgowości, choć nie zawsze jej to uc
 
 #### Wspieranie fundacji jest fajne. No chyba, że nam przeszkadzają, wtedy trzeba je zniszczyć.
 
-Google chętnie wspiera finansowo różne inicjatywy rozwojowe i think-tanki. Przez długi czas łożył pieniądze na organizację NAF (New America Foundation). Jednym z jej projektów stało się Open Markets, którego celem była walka ze skutkami monopoli w biznesie. W 2017 r. lider Open Markets skrytykował Google’a i pochwalił działania Unii Europejskiej wymierzone w firmę. Google w efekcie [doprowadził do jego zwolnienia](https://theguardian.com/technology/2017/aug/30/new-america-foundation-google-funding-firings) i rozwiązania inicjatywy Open Markets. Google nie jest właścicielem NAF, tak żeby była jasność.
+Google chętnie wspiera finansowo różne inicjatywy rozwojowe i think-tanki. Przez długi czas łożył pieniądze na organizację NAF (New America Foundation). Jednym z jej projektów stało się Open Markets, którego celem była walka ze skutkami monopoli w biznesie. W 2017 r. lider Open Markets skrytykował Google’a i pochwalił działania Unii Europejskiej wymierzone w firmę. Google w efekcie [doprowadził do jego zwolnienia](https://theguardian.com/technology/2017/aug/30/new-america-foundation-google-funding-firings) ![google](../google/icon.png) ![facebook](../facebook/icon.png) ![amazon](../amazon/icon.png) ![twitter](../twitter/icon.png) i rozwiązania inicjatywy Open Markets. Google nie jest właścicielem NAF, tak żeby była jasność.
 
 #### Reklamy nielegalnych produktów? Dopóki klient płaci…
 
-W latach 2003-2011 Google nie robił problemów kanadyjskim firmom farmaceutycznym, które kupowały u niego kampanie reklamowe targetowane w amerykańskich konsumentów. Wiedząc, że handel medykamentami niezatwierdzonymi przez amerykańską Agencję Żywności i Leków jest nielegalny. Niezbadane pigułki które licho-wie-co robią i jak działają? A niech się ci internauci trują – grunt, że kasa się zgadza. Google [musiał zapłacić 500 mln dol kary](https://nakedsecurity.sophos.com/real-canadian-pharmacies-cost-google-500-million-dollars) ![google](../google/icon.png) za te praktyki.
+W latach 2003-2011 Google nie robił problemów kanadyjskim firmom farmaceutycznym, które kupowały u niego kampanie reklamowe targetowane w amerykańskich konsumentów. Wiedząc, że handel medykamentami niezatwierdzonymi przez amerykańską Agencję Żywności i Leków jest nielegalny. Niezbadane pigułki które licho-wie-co robią i jak działają? A niech się ci internauci trują – grunt, że kasa się zgadza. Google [musiał zapłacić 500 mln dol kary](https://nakedsecurity.sophos.com/real-canadian-pharmacies-cost-google-500-million-dollars) ![google](../google/icon.png) ![twitter](../twitter/icon.png) ![linkedin](../linkedin/icon.png) za te praktyki.
 
 #### Wybiórcza cenzura.
 
@@ -52,4 +52,4 @@ Klient sieci społecznościowej Gab został wywalony ze Sklepu Play za tak zwan
 
 #### Bezprawne podsłuchiwanie obywateli bez ich wiedzy i zgody.
 
-Gdybym sam miał wskazać kiedy przestałem wierzyć w motto Google’a, bez wahania wspomniałbym o skandalu z 2010 r. Wtedy to Google ciężko pracował nad rozwojem usługi Street View, wysyłając na cały świat flotę samochodów fotografujących w zasadzie wszystko. Samochody te zbierały również informacje o geograficznym położeniu punktów dostępowych Wi-Fi. Co samo w sobie nie jest jeszcze niczym złym. Jak się jednak [później okazało](https://nakedsecurity.sophos.com/google-in-trouble-for-streetview-all-over-again-this-time-in-brazil) ![google](../google/icon.png), pojazdy Google’a zapisywały również transmisje danych w sieciach bezprzewodowych, zbierając gigantyczną ilość danych o nas wszystkich. Firma otwarcie kłamała, twierdząc, że nie robi niczego takiego i odmawiała współpracy z lokalnymi urzędami. Dopiero po serii kar finansowych zmieniła zdanie i się przyznała do procederu. Z czasem wręcz pogubiła się w swoich kłamstwach, deklarując że dane zostały zniszczone, po czym po jakimś czasie przyznając, że… jednak nie.
+Gdybym sam miał wskazać kiedy przestałem wierzyć w motto Google’a, bez wahania wspomniałbym o skandalu z 2010 r. Wtedy to Google ciężko pracował nad rozwojem usługi Street View, wysyłając na cały świat flotę samochodów fotografujących w zasadzie wszystko. Samochody te zbierały również informacje o geograficznym położeniu punktów dostępowych Wi-Fi. Co samo w sobie nie jest jeszcze niczym złym. Jak się jednak [później okazało](https://nakedsecurity.sophos.com/google-in-trouble-for-streetview-all-over-again-this-time-in-brazil) ![google](../google/icon.png) ![twitter](../twitter/icon.png) ![linkedin](../linkedin/icon.png), pojazdy Google’a zapisywały również transmisje danych w sieciach bezprzewodowych, zbierając gigantyczną ilość danych o nas wszystkich. Firma otwarcie kłamała, twierdząc, że nie robi niczego takiego i odmawiała współpracy z lokalnymi urzędami. Dopiero po serii kar finansowych zmieniła zdanie i się przyznała do procederu. Z czasem wręcz pogubiła się w swoich kłamstwach, deklarując że dane zostały zniszczone, po czym po jakimś czasie przyznając, że… jednak nie.

microsoft/magic-links-can-end-up-in-bing-search-results-rendering-them-useless.md

@@ -0,0 +1,57 @@
+## “Magic links” can end up in Bing search results — rendering them useless.
+
+źródło: <https://scribe.rip/magic-links-can-end-up-in-bing-search-results-rendering-them-useless-37def0fae994> (oryginalny post został opublikowany w serwisie Medium. Scribe pozwala na czytanie postów z serwisu Medium bez narażania prywatności użytkowników)
+
+użytkownik: *Ryan Badger*
+
+opublikowano: 2022.06.27
+
+---
+
+![](images/magic-links-can-end-up-in-bing-search-results-rendering-them-useless.png)
+
+I recently started verifying user email addresses during signup to prevent bots, mistyped emails, and also to ensure that addresses are active for future emails and newsletters.
+
+Being the lazy jack-of-all-trades developer that I am, I quickly threw together a rudimentary token system with the following flow:
+
+1. User registers with their email address (this also requires Google Recaptcha)
+2. Unique token is generated and then emailed to the user as a link that they can click to verify that email, and auto log them in
+3. Token is expired (which I forgot to actually do)
+
+This is basic email verification, but it’s also quite popular now for “Magic Links” — a way to log in to your account without having to actually enter your password. (the assumption is if you have access to the email account, you’re *probably* who you say you are.
+
+All was well for weeks, then suddenly I noticed an increase in logins, but little to no user action after the login event.
+
+With some digging, I noticed all of these phantom logins were coming from **Bingbot**. At first, I assumed this was malicious behaviour with a spoofed user agent, but the IPs matched Bing’s, so it was legitimate.
+
+### But how was Bing was logging into user accounts?
+
+A little more server logging and digging pointed to the email tokens. All of these Bingbot sessions started at the “verify email” URL, with the unique token appended. There was no referrer.
+
+The **only** logical explanation was that Microsoft was sharing email data (links included) with Bing for indexing. We all know that these ESPs harvest our data, but surely they don’t index private email content… right?
+
+A quick Google later (because nobody Bings) and I found this:
+
+<https://stackoverflow.com/questions/61818791/are-urls-in-emails-indexed-by-search-engines-so-they-become-publicly-searchable> ![google](../google/icon.png)
+
+> As of Feb 2017 Outlook (<https://outlook.live.com> ![microsoft](../microsoft/icon.png)) scans emails arriving in your inbox and it sends all found URLs to Bing, to be indexed by Bing crawler.
+>
+> This effectively makes all one-time use links like login/pass-reset/etc useless.
+
+This felt like I had stumbled onto a Wikileaks level conspiracy. Microsoft is sharing private email data with its search engine?
+
+I had to check to be sure… and my fears were confirmed.
+
+### Bing has been indexing my email verification links.
+
+Bingbot was then automatically visiting these links, and automatically logging into the new user accounts.
+
+Fortunately, they didn’t do anything after the login event, except click around a bit, and all of these were brand new accounts, so didn’t actually hold any sensitive data yet.
+
+### The fix
+
+As a quick fix, I’ve deployed the missing token expiry feature (all tokens now expire after usage, and are only valid for 1 hour)
+
+But I will probably move to a “here is your one-time code” format instead (no links) that the user must manually copy & paste into the webpage for extra peace of mind.
+
+No doubt there are numerous other (better) ways to add security to this flow, and detecting bots is actually fairly easy these days, so I *could* add extra checks for that… but now that I know any email links are essentially at risk of appearing in Bing search results if not set up correctly, I don’t feel comfortable using “Magic Links” at all.