Urlscan.io API无意中泄露了敏感的URL、数据

研究人员警告说，企业软件配置错误会导致urlscan.io上的敏感记录泄露。Urlscan.io是一个网站扫描和分析引擎。该系统接受URL提交并生成大量数据，包括域、IP、DOM信息和cookie，以及屏幕截图。开发人员表示，该引擎的目的是让“任何人都可以轻松自信地分析未知和潜在的恶意网站”。Urlscan.io支持许多企业客户和开源项目，并提供API将这些检查集成到第三方产品中。

在11月2日发布的一篇博文中，Positive Security表示，由于GitHub在2月份发送的一封电子邮件警告客户GitHub页面URL在元数据分析过程中被第三方意外泄露，因此urlscan API引起了它的注意。

“借助此API的集成类型（例如，通过扫描每封传入电子邮件并在所有链接上执行urlscan的安全工具）以及数据库中的数据量，可以存储各种各样的敏感数据由匿名用户搜索和检索，”研究人员说。

经过进一步调查，Positive Security发现这可能包括urlscan.io dorks、密码重置链接、设置页面、Telegram机器人、DocuSign签名请求、会议邀请、包裹跟踪链接和PayPal发票。

对泄露的电子邮件地址的Pingback似乎表明，将通过电子邮件收到的链接作为公共扫描提交给urlscan.io的错误配置的安全工具是罪魁祸首。

例如，许多API集成使用忽略帐户可见性设置的通用python-requests/2.XY用户代理，从而允许将扫描错误地作为公开提交。

Positive Security联系了许多泄露的电子邮件地址，但只有一个回复——来自一个组织，该组织向员工发送了指向其工作合同的DocuSign链接，随后展开了调查。

雇主发现其与urlscan.io集成的安全编排、自动化和响应(SOAR)剧本配置错误存在问题。

Positive Security检查了urlscan.io的历史信息，并发现了配置错误的客户端，这些客户端可能会通过从系统中抓取电子邮件地址并向其发送唯一链接以查看它们是否会出现在urlscan上而被滥用。

对于此类错误配置客户端的用户，可能会触发许多Web服务的密码重置，并且泄露的链接用于设置新密码并接管帐户。

Positive Security的联合创始人Fabian Bräunlein在接受采访时表示，这种攻击向量可能会被“针对银行或社交媒体等个人服务或公司服务（例如流行的SaaS或自定义应用程序）触发”。

“对于许多SaaS提供商而言，访问具有特定域的电子邮件地址已经足以访问内部公司数据（例如聊天或代码存储库），Bräunlein补充道。“在这种情况下，攻击者甚至不需要接管现有帐户，只需在有趣的服务上创建新帐户即可。”

在7月完成问题评估的影响后，Positive Security将其调查结果报告给urlscan.io。结果，网络安全公司和urlscan.io开发人员共同努力解决了发现的问题，并在本月晚些时候发布了新的引擎版本。

改进的软件包括增强的扫描可见性界面和团队范围的可见性设置。

Urlscan.io随后还发布了扫描可见性最佳实践，其中解释了用户在提交URL时选择的三种可见性设置所带来的安全优势和风险：“公共”、“未列出”和“私人”。

Urlscan.io还联系了提交大量公共扫描并开始审查第三方SOAR工具集成的客户。最后，开发人员添加了删除规则，在用户界面中突出显示可见性设置，并实现了一个报告按钮来停用有问题的搜索结果。

“运行SOAR平台的安全团队必须确保不会通过第三方服务的集成将敏感数据泄露给公众，”Bräunlein评论道。

Urlscan GmbH首席执行官Johannes Gilger说：“我们欢迎Positive Security进行的研究，并赞赏他们在与我们合作确定这些无意信息泄露的范围和来源时的专业行为。

“我们提高了平台上相关设置的可见性，我们通过专门的博客文章对用户进行了有关该问题的教育，并且我们继续与第三方自动化提供商合作，以确保遵守安全的默认行为。

“像urlscan这样的平台，由于其运营的性质，总是会承担意外信息泄露的风险，因此我们会采取一切可行的措施，将这些事情发生的可能性降到最低。”

原文始发于微信公众号（郑州网络安全）：Urlscan.io API无意中泄露了敏感的URL、数据