安全研究人员警告称,“大量敏感信息”会通过 urlscan.io 泄露,这是一种用于检测可疑和恶意 URL 的网站扫描程序。
Positive Security 联合创始人 Fabian Bräunlein在 2022 年 11 月 2 日发布的一份报告中说:“共享文档、密码重置页面、团队邀请、付款发票等的敏感 URL 已公开列出和可搜索。”
这家总部位于柏林的网络安全公司表示,在GitHub 于 2022 年 2 月向未知数量的用户发送关于将其用户名和私有存储库名称(即GitHub 页面 URL)共享给 urlscan.io 以获取元数据的通知之后,它开始了一项调查。分析作为自动化过程的一部分。大流量套餐
Urlscan.io 被描述为Web 沙箱,通过其 API集成到多个安全解决方案中。
“借助此 API 的集成类型(例如,通过扫描每封传入电子邮件并在所有链接上执行 urlscan 的安全工具)以及数据库中的数据量,可以存储各种各样的敏感数据由匿名用户搜索和检索。”Bräunlein 指出。
这包括密码重置链接、电子邮件退订链接、帐户创建 URL、API 密钥、有关 Telegram 机器人的信息、DocuSign 签名请求、共享的 Google Drive 链接、Dropbox 文件传输、SharePoint、Discord、Zoom、PayPal 发票、Cisco 等服务的邀请链接Webex 大流量套餐会议记录,甚至是包裹跟踪的 URL。
Positive Security 联系了一些泄露的电子邮件地址,收到了来自一个未具名组织的回复,该组织将 DocuSign 工作合同链接的泄露追溯到其安全编排、自动化和响应 ( SOAR ) 解决方案的错误配置,它正在与 urlscan.io 集成。
最重要的是,分析还发现配置错误的安全工具会将通过邮件收到的任何链接作为公共扫描提交给 urlscan.io。
这可能会产生严重后果,其中恶意行为者可以触发受影响电子邮件地址的密码重置链接,并利用扫描结果来捕获 URL,并通过重置为攻击者选择的密码来接管帐户。
为了最大限度地提高此类攻击的有效性,攻击者可以搜索数据泄大流量套餐露通知站点,例如Have I Been Pwned,以确定使用相关电子邮件地址注册的确切服务。
友情提醒: 请添加客服微信进行免费领取流量卡!
QQ交流群:226333560 站长微信:qgzmt2
原创文章,作者:sunyaqun,如若转载,请注明出处:https://www.dallk.cn/73010.html
