Сканер безпеки URLScan пропускає конфіденційні адреси та дані

Представник Positive Security попередив, що конфіденційні URL-адреси документів, сторінок скидання пароля, запрошень команди, рахунків-фактур тощо є загальнодоступними. Цю новину повідомив The Hacker News 7 листопада 2022 року.

Розслідування почалося ще на початку року, коли компанія GitHub направила невизначеній кількості користувачів повідомлення про передачу їх логінів і приватних репозиторіїв (наприклад, URL-адрес сторінок GitHub) на urlscan.io для аналізу метаданих під виглядом автоматизованого процесу. Urlscan.io характеризується, як» пісочниця " для Інтернету, впроваджена в рішення безпеки через API. Останній сканує вхідні електронні листи та URL-адреси за всіма посиланнями. У базі даних залишається широкий спектр конфіденційної інформації, доступної анонімним користувачам:

• Посилання для скидання пароля;
• Посилання для скасування підписки електронною поштою;
• URL-адреси для створення облікового запису;
• Інформація про ботів Telegram ;
• Запити на підпис DocuSign;
• Загальні посилання на Google Диск;
• Передача файлів Dropbox;
• Посилання на запрошення на послуги, такі як SharePoint, Discord, Zoom ;
• Рахунки-фактури PayPal , Cisco ;
• Записи зустрічей Webex;
• URL-адреси для відстеження посилок та ін.

Все це залишається в базах даних і стає доступним стороннім особам. Початковий лютневий пошук виявив URL-адреси, що належать доменам Apple , в той числі посилання на файли iCloud і відповіді на запрошення календаря. Згодом вони були видалені після запиту Apple.

Розслідування показало, що неправильно налаштовані інструменти безпеки надсилають будь-яке посилання, отримане поштою, як загальнодоступне сканування на urlscan.io, що може характеризуватися серйозними наслідками, якщо зловмисник перехопить вразливі адреси.

Раніше «WorldBank.org.ua» розповів про те, що гіганти розробники програмного забезпечення оголосили про спільне створення єдиного інструменту кібербезпеки.