Các nhà nghiên cứu bảo mật đang cảnh báo về “một đống thông tin nhạy cảm” bị rò rỉ qua urlscan.io, một trình quét trang web để tìm các URL đáng ngờ và độc hại.
“Các URL nhạy cảm đối với tài liệu được chia sẻ, trang đặt lại mật khẩu, lời mời nhóm, hóa đơn thanh toán và hơn thế nữa được liệt kê công khai và có thể tìm kiếm”, đồng sáng lập Positive Security, Fabian Bräunlein, cho biết trong một báo cáo được công bố vào ngày 2 tháng 11 năm 2022.
Công ty an ninh mạng có trụ sở tại Berlin cho biết họ đã bắt đầu một cuộc điều tra do hậu quả của một thông báo do GitHub gửi vào tháng 2 năm 2022 cho một số người dùng không xác định về việc chia sẻ tên người dùng và tên kho lưu trữ riêng của họ (tức là URL của các trang GitHub) với urlscan.io để lấy siêu dữ liệu. phân tích như một phần của quy trình tự động.
Urlscan.io, được mô tả như một hộp cát cho web, được tích hợp vào một số giải pháp bảo mật thông qua API của nó.
“Với kiểu tích hợp của API này (ví dụ: thông qua một công cụ bảo mật quét mọi email đến và thực hiện quét url trên tất cả các liên kết) và lượng dữ liệu trong cơ sở dữ liệu, có rất nhiều dữ liệu nhạy cảm có thể được tìm kiếm và truy xuất bởi một người dùng ẩn danh, “Bräunlein lưu ý.
Điều này bao gồm liên kết đặt lại mật khẩu, liên kết hủy đăng ký email, URL tạo tài khoản, khóa API, thông tin về bot Telegram, yêu cầu ký DocuSign, liên kết Google Drive được chia sẻ, truyền tệp Dropbox, liên kết mời đến các dịch vụ như SharePoint, Discord, Zoom, hóa đơn PayPal, Cisco Bản ghi cuộc họp Webex và thậm chí cả URL để theo dõi gói hàng.
Bräunlein chỉ ra rằng một tìm kiếm ban đầu vào tháng 2 đã tiết lộ “các URL ngon lành” thuộc về các miền của Apple, một số URL trong số đó cũng bao gồm các liên kết được chia sẻ công khai tới các tệp iCloud và phản hồi lời mời lịch, và kể từ đó đã bị xóa.
Apple được cho là đã yêu cầu loại trừ các miền của mình khỏi quá trình quét URL để các kết quả khớp với một số quy tắc xác định trước sẽ bị xóa định kỳ.
Positive Security cho biết thêm rằng họ đã liên hệ với một số địa chỉ email bị rò rỉ đó, nhận được một phản hồi từ một tổ chức giấu tên đã theo dõi sự rò rỉ của liên kết hợp đồng làm việc DocuSign dẫn đến việc định cấu hình sai giải pháp Điều phối bảo mật, Tự động hóa và Phản hồi (SOAR). , được tích hợp với urlscan.io.
Trên hết, phân tích cũng phát hiện ra rằng các công cụ bảo mật được định cấu hình sai đang gửi bất kỳ liên kết nào nhận được qua thư dưới dạng quét công khai tới urlscan.io.
Điều này có thể gây ra những hậu quả nghiêm trọng, trong đó một tác nhân độc hại có thể kích hoạt các liên kết đặt lại mật khẩu cho các địa chỉ email bị ảnh hưởng và khai thác kết quả quét để nắm bắt các URL và chiếm quyền sử dụng tài khoản bằng cách đặt lại mật khẩu theo lựa chọn của kẻ tấn công.
Để tối đa hóa hiệu quả của một cuộc tấn công như vậy, kẻ thù có thể tìm kiếm các trang web thông báo vi phạm dữ liệu như Have I Been Pwned để xác định chính xác các dịch vụ đã được đăng ký bằng cách sử dụng các địa chỉ email được đề cập.
Urlscan.io, sau tiết lộ có trách nhiệm từ Positive Security vào tháng 7 năm 2022, đã kêu gọi người dùng “hiểu các chế độ quét khác nhau, xem xét các bản quét của riêng bạn để tìm thông tin không công khai, xem xét quy trình gửi tự động của bạn, [and] thực thi chế độ hiển thị quét tối đa cho tài khoản của bạn. “
Nó cũng đã thêm các quy tắc xóa để thường xuyên xóa các lần quét trong quá khứ và tương lai phù hợp với các mẫu tìm kiếm, cho biết nó có danh sách chặn miền và mẫu URL để ngăn chặn việc quét các trang web cụ thể.
Bräunlein nói: “Thông tin này có thể được sử dụng bởi những kẻ gửi thư rác để thu thập địa chỉ email và các thông tin cá nhân khác. “Nó có thể được bọn tội phạm mạng sử dụng để chiếm tài khoản và thực hiện các chiến dịch lừa đảo đáng tin cậy.”
