Berlin merkezli dijital güvenlik firması Positive Security’nin en son blog yazısı nasıl olduğunu ortaya çıkardı url taraması API, hassas URL’leri ve verileri yanlışlıkla sızdırıyor. Şirket, Şubat 2022’de GitHub’dan bir e-posta ile uyarıldı.
olduğundan şüpheleniliyor GitHub Sayfaları URL’leri meta veri değerlendirmesi yapılırken üçüncü bir taraf aracılığıyla yanlışlıkla sızdırıldı.
Urlscan.io nedir?
urlscan.io URL gönderimlerini kabul eden ve IP’ler, etki alanları, DOM bilgileri, ekran görüntüleri ve çerezler gibi bir veri hazinesi oluşturan bir web sitesi tarama ve analiz motorudur.
Urlscan.io geliştiricilerine göre, motor web için bir sanal alan gibidir. Kullanıcıların potansiyel olarak kötü amaçlı web sitelerini “kolay ve güvenle” değerlendirmelerini sağlamak için oluşturuldu. Motor, sayısız kurumsal müşteriyi ve açık kaynaklı projeyi destekler. Taramalarını üçüncü taraf ürünlere entegre eden bir API ile birlikte gelir.
Sorun Ne?
verilen API’nin entegrasyon türütüm gelen e-postaları tarayan ve tüm bağlantılarda bir URL taraması yapan bir güvenlik aracı gibi, anonim bir kullanıcının kolayca arayabileceği ve alabileceği çok sayıda ve çeşitli hassas veri olabilir.
GitHub’ın, meta veri analizi için otomatik olarak özel havuz adlarını ve kullanıcı adlarını Urlscan.io ile paylaşan kullanıcılarla ilgili bildiriminin ardından bir soruşturma başlatıldı.
Sızan e-posta kimliklerine yönelik geri bildirimler kontrol edildiğinde, araştırmacılar, sorunun temel nedeninin, e-postalarda alınan bağlantıları genel taramalar olarak gönderen yanlış yapılandırılmış güvenlik araçları olduğunu tespit etti. Örneğin, bazı API entegrasyonları genel python-requests/2.XY kullanır. Kullanıcı aracıları hesap görünürlük ayarlarını göz ardı ederse, bu, taramaların yanlışlıkla genel olarak gönderilmesine izin verdi.
Etki Kapsamı
Daha fazla araştırma, sorunun urlscan.io dork’larını, kurulum sayfalarını, parola sıfırlama bağlantılarını, Telegram botlarını, toplantı davetlerini, DocuSign imzalama isteklerini, paylaşılan Google Drive bağlantılarını, PayPal, SharePoint, Discord, Zoom faturalarını, Cisco Webex toplantı kayıtlarını etkileyebileceğini ortaya çıkardı. Positive Security kurucu ortağı Fabian Bräunlein, Dropbox dosya aktarımlarının paket izleme bağlantılarını ve PayPal faturalarını aktardığını söyledi. bildiri.
Şirketin ayrıca Apple etki alanlarına ait ilginç URL’ler bulduğunu ve bazılarının iCloud dosyalarına genel olarak paylaşılan bağlantılar içerdiğini belirtmekte fayda var. Ancak bunlar artık kaldırıldı.
Bilginize, SEO söz konusu olduğunda, “sulu” bir URL, arama motoru sonuç sayfalarındaki sıralamanızı iyileştirmeye yardımcı olan anahtar kelimeler ve kelime öbekleriyle dolu olan bir URL’dir.
Positive Security, sızdırılan e-posta adreslerinin çoğuyla temasa geçti ve adı açıklanmayan bir kuruluştan yanıt aldı. Urlscan.io’nun entegre ettiği yanlış yapılandırılmış Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) çözümüne bir DocuSign iş sözleşmesi bağlantısının sızıntısını izledi.
Tehdit Azaltma Çabaları
Temmuz ayında sorun değerlendirmesini tamamladıktan sonra, Positive Security, Urlscan.io’ya bulgularını bildirdi ve sorunu çözmek için geliştiricileriyle işbirliği yaptı. O ayın ilerleyen saatlerinde, gelişmiş bir tarama görünürlüğü arabirimi ve ekip çapında görünürlük ayarlarıyla yeni bir motor sürümü yayınlandı.
Şirket ayrıca, kullanıcıların bir URL gönderirken seçtikleri üç görünürlük ayarıyla ilgili riskleri açıklamak için Tarama Görünürlüğü En İyi Uygulamalarını yayınladı: Herkese Açık, Liste Dışı ve Özel. Üçüncü taraf SOAR aracı entegrasyonlarını inceledikten sonra geliştiriciler, kullanıcı arayüzüne silme kuralları ve gelişmiş görünürlük ayarları ekledi. Ayrıca sorunlu arama sonuçlarının devre dışı bırakılması için bir rapor düğmesi de içeriyorlardı.
Alakalı haberler
- Bilgisayar korsanları, VirusTotal’da çalınan kimlik bilgilerine erişebilir
- Sızan Amazon Prime Video Sunucusu Kullanıcıların Görüntüleme Alışkanlıklarını Açıkladı
- Siber güvenlik firmasının ve diğer işletmelerin hassas verileri çevrimiçi olarak sızdırıldı
- 21M SuperVPN, GeckoVPN kullanıcılarının kişisel bilgileri Telegram’a sızdırıldı
- Adam, İşinin İlk Günü Üretim Veritabanını Yanlışlıkla Yok Etti