Les chercheurs en sécurité mettent en garde contre « une mine d’informations sensibles » qui fuit via urlscan.io, un scanner de site Web pour les URL suspectes et malveillantes. « Les URL sensibles vers les documents partagés, les pages de réinitialisation de mot de passe, les invitations d’équipe, les factures de paiement et plus encore sont répertoriées publiquement et consultables », a déclaré le co-fondateur de Positive Security, Fabian Bräunlein, dans un rapport publié le 2 novembre 2022. La société de cybersécurité basée à Berlin a déclaré qu’elle avait ouvert une enquête à la suite d’une notification envoyée par GitHub en février 2022 à un nombre inconnu d’utilisateurs concernant le partage de leurs noms d’utilisateur et noms de référentiels privés (c’est-à-dire les URL des pages GitHub) à urlscan.io pour les métadonnées. analyse dans le cadre d’un processus automatisé. Urlscan.io, qui a été décrit comme une sandbox pour le web, est intégré à plusieurs solutions de sécurité via son API. « Avec le type d’intégration de cette API (par exemple via un outil de sécurité qui scanne chaque e-mail entrant et effectue un urlscan sur tous les liens), et la quantité de données dans la base de données, il existe une grande variété de données sensibles qui peuvent être recherché et récupéré par un utilisateur anonyme », a noté Bräunlein. Cela comprenait des liens de réinitialisation de mot de passe, des liens de désabonnement par e-mail, des URL de création de compte, des clés API, des informations sur les robots Telegram, des demandes de signature DocuSign, des liens Google Drive partagés, des transferts de fichiers Dropbox, des liens d’invitation vers des services tels que SharePoint, Discord, Zoom, les factures PayPal, Cisco. Enregistrements de réunions Webex et même des URL pour le suivi des colis.
Bräunlein a souligné qu’une première recherche en février avait révélé des « URL juteuses » appartenant à des domaines Apple, dont certaines consistaient également en des liens partagés publiquement vers des fichiers iCloud et des réponses d’invitation de calendrier, et ont depuis été supprimées. Apple aurait demandé l’exclusion de ses domaines des analyses d’URL de sorte que les résultats correspondant à certaines règles prédéfinies soient périodiquement supprimés. Positive Security a en outre ajouté qu’elle avait contacté un certain nombre de ces adresses e-mail divulguées, recevant une réponse d’une organisation anonyme qui a retracé la fuite d’un lien de contrat de travail DocuSign avec une mauvaise configuration de sa solution d’orchestration, d’automatisation et de réponse de sécurité (SOAR). , qui était intégré à urlscan.io. En plus de cela, l’analyse a également révélé que des outils de sécurité mal configurés soumettent tout lien reçu par courrier électronique en tant qu’analyse publique à urlscan.io. Cela pourrait avoir de graves conséquences lorsqu’un acteur malveillant peut déclencher des liens de réinitialisation de mot de passe pour les adresses e-mail concernées et exploiter les résultats de l’analyse pour capturer les URL et prendre le contrôle des comptes en réinitialisant un mot de passe au choix de l’attaquant. Pour maximiser l’efficacité d’une telle attaque, l’adversaire peut rechercher des sites de notification de violation de données comme Have I Been Pwned pour déterminer les services exacts qui ont été enregistrés à l’aide des adresses e-mail en question.
Urlscan.io, suite à la divulgation responsable de Positive Security en juillet 2022, a exhorté les utilisateurs à « comprendre les différentes visibilités d’analyse, à examiner vos propres analyses pour les informations non publiques, à examiner vos flux de travail de soumission automatisés, [et] à appliquer une visibilité d’analyse maximale pour Votre compte. » Il a également ajouté des règles de suppression pour supprimer régulièrement les analyses passées et futures correspondant aux modèles de recherche, indiquant qu’il a mis en place des listes de blocage de domaines et d’URL pour empêcher l’analyse de sites Web particuliers. « Ces informations pourraient être utilisées par des spammeurs pour collecter des adresses e-mail et d’autres informations personnelles », a déclaré Bräunlein. « Il pourrait être utilisé par des cybercriminels pour prendre le contrôle de comptes et mener des campagnes de phishing crédibles. »