Сканер безопасности URLScan пропускает конфиденциальные адреса и данные

Представители кибербезопасности поделились новостями об утечке «конфиденциальной информации» через urlscan.io, сканер веб-сайтов на наличие подозрительных и вредоносных URL-адресов.

URLScan пропускает конфиденциальные адреса и данные

Представитель Positive Security предупредил, что конфиденциальные URL-адреса документов, страниц сброса пароля, приглашений в команду, счетов на оплату и т. д. находятся в открытом доступе. Эту новость сообщил the Hacker News 7 ноября 2022 года.

Расследование началось еще в начале года, когда компания GitHub направила неопределенному количеству пользователей уведомление о передаче их логинов и частных репозиториев (например, URL-адресов страниц GitHub) на urlscan.io для анализа метаданных под видом автоматизированного процесса. Urlscan.io характеризуется, как «песочница» для Интернета, внедренная в решения безопасности через API. Последний сканирует входящие электронные письма и URL-адреса по всем ссылкам. В базе данных остается широкий спектр конфиденциальной информации, доступной анонимным пользователям:

  • ссылки для сброса пароля;
  • ссылки для отказа от подписки по электронной почте;
  • URL-адреса для создания учетной записи;
  • информация о ботах Telegram;
  • запросы на подпись DocuSign;
  • общие ссылки на Google Диск;
  • передача файлов Dropbox;
  • ссылки для приглашения на службы, вроде SharePoint, Discord, Zoom;
  • счета-фактуры PayPal, Cisco;
  • записи совещаний Webex;
  • URL-адреса для отслеживания посылок и др.

Все это остается в базах данных и становится доступным посторонним лицам. Первоначальный февральский поиск выявил URL-адреса, принадлежащие доменам Apple, в то числе ссылки на файлы iCloud и ответы на приглашения календаря. Впоследствии они были удалены после запроса Apple.

Расследование показало, что неправильно настроенные инструменты безопасности отправляют любую ссылку, полученную по почте, в качестве общедоступного сканирования на urlscan.io, что может характеризоваться серьезными последствиями, если злоумышленник перехватит уязвимые адреса.

Ранее Интернет-журнал «LinDeal.com» рассказал о том, что гиганты разработчики программного обеспечения объявили о совместном создании единого инструмента кибербезопасности.

Не пропускайте важные события. Будьте в курсе всего, что происходит в мире, читайте нас:

LinDeal.com в google новости LinDeal.com в Яндекс.Новости Телеграм канал Facebook Twitter ВКонтакте

Читайте также по теме: