(A borítókép forrása: Positive Security)
Biztonsági kutatók arra figyelmeztetnek, hogy érzékeny információk sokasága szivárgott ki az urlscan.io nevű weboldalról, amely gyanús és rosszindulatú weboldalak felderítésére szolgál URL cím alapján. A Positive Security nevű berlini székhelyű kiberbiztonsági vállalat jelentése szerint megosztott dokumentumok, jelszó visszaállítási oldalak, meghívók, fizetést igazoló számlák, illetve egyéb hasonló érzékeny oldalak URL címei váltak kereshetővé az Interneten.
A cég elmondása szerint akkor kezdtek nyomozásba, amikor a GitHub 2022 februárjában arról küldött figyelmeztetést egyes felhasználóknak, hogy az érintettek felhasználóneve és privát repository neveik egy automatikus metaadatelemző folyamat részeként kiszivárogtak az urlscan.io szolgáltatás számára. A GitHub akkor gyorsan reagált, megszüntette az adatszivárgást, tájékoztatta az érintetteket az adatszivárgásról, a Positive Security szakemberei azonban úgy vélték, érdemes jobban is megvizsgálni ezt az automatizált folyamatot, mert további adatszivárogtatást is elképzelhetőnek tartottak.
Az urlscan.io saját elmondása szerint szolgáltatása az „Internet sandboxa”, amire bárki beküldhet elemzésre egy gyanús hivatkozást, aminek az eredményét azután bárki megtekintheti, ha a lekérdezéskor a láthatósági paraméter publikusra volt állítva. A szolgáltatás emellett arra is lehetőséget ad, hogy a SOAR (Security Orchestration, Automation and Response) azaz az automatizált incidensreagálási eszközök egy API-n keresztül automatikusan beküldhessék elemzésre a gyanús elemeket, mint például az e-mailek, vagy weboldal címek. A urlscan.io dokumentációja alapján legalább 26 kereskedelmi termék igénybe veszi ezt a szolgáltatást.
A probléma gyökere az, hogy az automatikus eszközök urlscan.io lekérdezései sok esetben érzékeny adatokat „hagynak” az urlscan.io adatbázisában, amik a lekérdezés konfigurálása (public láthatóság) miatt nyilvánosan elérhetőek maradnak és visszaélésekre adhatnak módot.
Fabian Bräunlein, a Positive Security kutatója szerint vizsgálatuk érzékeny adatok széles skáláját tárta fel. Ide tartoznak jelszó visszaállítási hivatkozások, fiók létrehozási URL-ek, API-kulcsok, Telegram botokra vonatkozó információk, Dropbox és Google Drive megosztások linkjei, meghívók, Cisco Webex megbeszélések felvételei, és számos további érzékeny adat. A Positive Security azt is megerősítette, hogy a februári kutatások során olyan URL címeket találtak, amelyek egy része nyilvánosan megosztott iCloud fájlokra, illetve naptármeghívók linkjeire mutatott.
Bräunleinék a vizsgálatok során azonosított érintettek mellett természetesen az urlscan.io-val is felvették a kapcsolatot, akik nagyon együttműködőek voltak. A szolgáltató azóta egy posztot is közzétett a javasolt láthatósági konfigurációkról, emellett több megelőző intézkedést is hoztak, például többfajta törlési szabályt is létrehoztak annak érdekében, hogy a meghatározott keresési mintáknak megfelelő eredmények törlésre kerüljenek, illetve számos domain és URL címet blokkoltak a vizsgálandó elemek alól.