Сканер безопасности URLScan пропускает конфиденциальные адреса и данные
Представители кибербезопасности поделились новостями об утечке «конфиденциальной информации» через urlscan.io, сканер веб-сайтов на наличие подозрительных и вредоносных URL-адресов
Представитель Positive Security предупредил, что конфиденциальные URL-адреса документов, страниц сброса пароля, приглашений в команду, счетов на оплату и т. д. находятся в открытом доступе. Эту новость сообщил the Hacker News 7 ноября 2022 года.
Расследование началось еще в начале года, когда компания GitHub направила неопределенному количеству пользователей уведомление о передаче их логинов и частных репозиториев (например, URL-адресов страниц GitHub) на urlscan.io для анализа метаданных под видом автоматизированного процесса. Urlscan.io характеризуется, как «песочница» для Интернета, внедренная в решения безопасности через API. Последний сканирует входящие электронные письма и URL-адреса по всем ссылкам. В базе данных остается широкий спектр конфиденциальной информации, доступной анонимным пользователям:
- ссылки для сброса пароля;
- ссылки для отказа от подписки по электронной почте;
- URL-адреса для создания учетной записи;
- информация о ботах Telegram;
- запросы на подпись DocuSign;
- общие ссылки на Google Диск;
- передача файлов Dropbox;
- ссылки для приглашения на службы, вроде SharePoint, Discord, Zoom;
- счета-фактуры PayPal, Cisco;
- записи совещаний Webex;
- URL-адреса для отслеживания посылок и др.
Все это остается в базах данных и становится доступным посторонним лицам. Первоначальный февральский поиск выявил URL-адреса, принадлежащие доменам Apple, в то числе ссылки на файлы iCloud и ответы на приглашения календаря. Впоследствии они были удалены после запроса Apple.
Расследование показало, что неправильно настроенные инструменты безопасности отправляют любую ссылку, полученную по почте, в качестве общедоступного сканирования на urlscan.io, что может характеризоваться серьезными последствиями, если злоумышленник перехватит уязвимые адреса.
Ранее «LinDeal.com» рассказал о том, что гиганты разработчики программного обеспечения объявили о совместном создании единого инструмента кибербезопасности.
Теги:
Комментарии (0)
Комментариев еще нет. Будьте первыми, напишите комментарий.
Написать комментарий
Поделитесь с нами своим мнением об этой статье, напишите ваш комментарий, отзыв, рекомендации или вопросы. Нам очень важно, что вы думаете касательно данного материала!
Читаете еще на linDEAL.
Простые способы и пошаговые инструкции, как оставаться невидимыми в сети. Сервисы, ПО и приложения, которые помогут сохранить анонимность в интернете
Полная защита вашего компьютера от угроз: антивирус + фаервол. Узнайте про 20 лучших бесплатных вариантов!
Полная история и биография Павла Дурова. Узнайте подробно в чем секрет успеха и как ему удалось стать самым известным человеком в мире. Интересные факты, книги и фильмы
Исследователи рассказали, какая информация продается на рынке ботов и как она работает после покупки сторонним лицом
Флагманское технологическое мероприятие The Age Innovation Summit 2022 пройдет 11 августа в Мельбурне, Австралия
Новости на linDEAL.
Какой сегодня праздник?
Статьи и Тренды на linDEAL.
Подборки лучших книг
В подборке, вы найдете, как базовые книги для новичков, так и более продвинутые издания для профи. Всё самое интересное про аппаратное обеспечение — смотрите в нашей сегодняшней статье
В нашем ТОПе вы найдете самые популярные самоучители по SMM маркетингу и продвижению продаж в соцсетях для SMM-специалистов, блогеров YouTube, Facebook, Instagram, ВКонтакте
Подборка книг о «черных» и «белых» хакерах расскажет о профессиональных киберпреступниках и специалистах по информационной безопасности и повысит вашу цифровую грамотность