Сканер безопасности URLScan пропускает конфиденциальные адреса и данные

Представитель Positive Security предупредил, что конфиденциальные URL-адреса документов, страниц сброса пароля, приглашений в команду, счетов на оплату и т. д. находятся в открытом доступе. Эту новость сообщил the Hacker News 7 ноября 2022 года.

Расследование началось еще в начале года, когда компания GitHub направила неопределенному количеству пользователей уведомление о передаче их логинов и частных репозиториев (например, URL-адресов страниц GitHub) на urlscan.io для анализа метаданных под видом автоматизированного процесса. Urlscan.io характеризуется, как «песочница» для Интернета, внедренная в решения безопасности через API. Последний сканирует входящие электронные письма и URL-адреса по всем ссылкам. В базе данных остается широкий спектр конфиденциальной информации, доступной анонимным пользователям:

• ссылки для сброса пароля;
• ссылки для отказа от подписки по электронной почте;
• URL-адреса для создания учетной записи;
• информация о ботах Telegram;
• запросы на подпись DocuSign;
• общие ссылки на Google Диск;
• передача файлов Dropbox;
• ссылки для приглашения на службы, вроде SharePoint, Discord, Zoom;
• счета-фактуры PayPal, Cisco;
• записи совещаний Webex;
• URL-адреса для отслеживания посылок и др.

Все это остается в базах данных и становится доступным посторонним лицам. Первоначальный февральский поиск выявил URL-адреса, принадлежащие доменам Apple, в то числе ссылки на файлы iCloud и ответы на приглашения календаря. Впоследствии они были удалены после запроса Apple.

Расследование показало, что неправильно настроенные инструменты безопасности отправляют любую ссылку, полученную по почте, в качестве общедоступного сканирования на urlscan.io, что может характеризоваться серьезными последствиями, если злоумышленник перехватит уязвимые адреса.

Ранее «LinDeal.com» рассказал о том, что гиганты разработчики программного обеспечения объявили о совместном создании единого инструмента кибербезопасности.