Güvenlik araştırmacıları, şüpheli ve kötü niyetli URL’ler için bir web sitesi tarayıcısı olan urlscan.io üzerinden sızan “hassas bilgi hazinesi” konusunda uyarıyorlar.
Positive Security kurucu ortağı Fabian Bräunlein, “Paylaşılan belgelere, parola sıfırlama sayfalarına, ekip davetlerine, ödeme faturalarına ve daha fazlasına ilişkin hassas URL’ler herkese açık olarak listelenir ve aranabilir”, söz konusu 2 Kasım 2022’de yayınlanan bir raporda.
Berlin merkezli siber güvenlik firması, bir soruşturmanın ardından soruşturma başlattığını söyledi. bildirim GitHub tarafından Şubat 2022’de bilinmeyen sayıda kullanıcıya kullanıcı adlarını ve özel depo adlarını paylaşma konusunda gönderildi (ör. GitHub Sayfaları URL’leri) otomatik bir sürecin parçası olarak meta veri analizi için urlscan.io’ya.
olarak tanımlanan Urlscan.io web için sanal alandır-dir Birleşik birkaç güvenlik çözümüne API’si aracılığıyla.
“Bu API’nin entegrasyon türü (örneğin, gelen her e-postayı tarayan ve tüm bağlantılarda bir urls taraması yapan bir güvenlik aracı aracılığıyla) ve veritabanındaki veri miktarı ile, olabilecek çok çeşitli hassas veriler vardır. isimsiz bir kullanıcı tarafından arandı ve alındı,” dedi Bräunlein.
Buna parola sıfırlama bağlantıları, e-posta abonelikten çıkma bağlantıları, hesap oluşturma URL’leri, API anahtarları, Telegram botları hakkında bilgiler, DocuSign imzalama istekleri, paylaşılan Google Drive bağlantıları, Dropbox dosya aktarımları, SharePoint, Discord, Zoom, PayPal faturaları, Cisco gibi hizmetlere davet bağlantıları dahildir. Webex toplantı kayıtları ve hatta paket takibi için URL’ler.
Bräunlein, Şubat ayında yapılan ilk aramanın Apple etki alanlarına ait “sulu URL’leri” ortaya çıkardığını ve bunların bir kısmının iCloud dosyalarına ve takvim davet yanıtlarına genel olarak paylaşılan bağlantılardan oluştuğunu ve o zamandan beri kaldırıldığını belirtti.
Apple’ın, önceden tanımlanmış belirli kurallarla eşleşen sonuçların periyodik olarak silinmesi için etki alanlarının URL taramalarından hariç tutulmasını talep ettiği söyleniyor.
Positive Security ayrıca, bir DocuSign iş sözleşmesi bağlantısının sızıntısını Güvenlik Düzenlemesi, Otomasyonu ve Yanıtının yanlış yapılandırılmasına kadar izleyen isimsiz bir kuruluştan bir yanıt alarak sızdırılan bu e-posta adreslerinin bir kısmına ulaştığını da sözlerine ekledi.YÜKSELMEK) urlscan.io ile entegre edilen çözüm.
Bunun da ötesinde, analiz, yanlış yapılandırılmış güvenlik araçlarının, posta yoluyla alınan herhangi bir bağlantıyı genel tarama olarak urlscan.io’ya gönderdiğini de buldu.
Bunun, kötü niyetli bir aktörün, etkilenen e-posta adresleri için parola sıfırlama bağlantılarını tetikleyebilmesi ve URL’leri yakalamak ve saldırganın tercih ettiği bir parolayı sıfırlayarak hesapları ele geçirmek için tarama sonuçlarından yararlanabilmesi gibi ciddi sonuçları olabilir.
Böyle bir saldırının etkinliğini en üst düzeye çıkarmak için, saldırgan, aşağıdakiler gibi veri ihlali bildirim sitelerinde arama yapabilir: Kandırıldım mı söz konusu e-posta adresleri kullanılarak kaydedilen hizmetleri tam olarak belirlemek için.
Urlscan.io, Temmuz 2022’de Positive Security’den sorumlu açıklamayı takiben, çağırdı kullanıcıların “farklı tarama görünürlüklerini anlamaları, halka açık olmayan bilgiler için kendi taramalarınızı gözden geçirmeleri, otomatik gönderim iş akışlarınızı gözden geçirmeleri, [and] hesabınız için maksimum tarama görünürlüğü uygulayın.”
Ayrıca, belirli web sitelerinin taranmasını önlemek için etki alanı ve URL kalıbı engelleme listelerine sahip olduğunu belirterek, arama kalıplarıyla eşleşen geçmiş ve gelecekteki silme taramalarını düzenli olarak temizlemek için silme kuralları ekledi.
Bräunlein, “Bu bilgiler spam gönderenler tarafından e-posta adreslerini ve diğer kişisel bilgileri toplamak için kullanılabilir.” Dedi. “Siber suçlular tarafından hesapları ele geçirmek ve inandırıcı kimlik avı kampanyaları yürütmek için kullanılabilir.”
