Positive Security’den araştırmacılar, “adlı bir web sitesi tarayıcısını ortaya çıkardılar.url taramasıYanlış yapılandırma nedeniyle istemeden hassas URL’leri ve verileri sızdırıyor.
Bir üçüncü tarafın yanlışlıkla GitHub Pages URL’lerini sızdırdığı ve bu olayın bir meta veri analizi yapılırken gerçekleştiği anlaşılıyor.
Co Founder Positive security, Bräunlein, “Bu bilgiler spam gönderenler tarafından e-posta adreslerini ve diğer kişisel bilgileri toplamak için kullanılabilir” dedi. “Siber suçlular tarafından hesapları ele geçirmek ve inandırıcı kimlik avı kampanyaları yürütmek için kullanılabilir.”
urlscan.io
URLscan.io hizmeti, web için bir sanal alan olarak tanımlanır ve bir web tarayıcısı olarak anılır. Çeşitli güvenlik çözümleri, çözümlerini daha güvenli ve zengin özellikli hale getirmek için API’si ile entegre olur.
Bunun arkasındaki fikir, kullanıcıların basit ve anlaşılır bir araç kullanarak olası kötü amaçlı web sitelerini kolaylıkla ve güvenle tanımlamasına izin vermektir. Çok çeşitli açık kaynaklı projeler ve kurumsal müşteriler motor tarafından desteklenir.
Hassas veriler çıkarılabilir
Github Pages’i özel bir depo için barındırma yöntemi olarak etkinleştiren kullanıcıların, deponun adını sızdırdığı keşfedildi. Henüz bu ihlale ilişkin herhangi bir kamu görevlisi onayı yok gibi görünüyor.
Anonim bir kullanıcının API entegrasyonu içinde çok sayıda ve çeşitli hassas verileri kolayca araması ve alması olasılığı vardır.
Bunun nedeni, API’nin gelen e-postalarda tarama yapan ve alınan her bağlantıda URL taraması yapan çeşitli güvenlik araçlarıyla donatılmış olmasıdır.
Hizmet tarafından döndürülen her tarama sonucuyla birlikte aşağıdakiler de dahil olmak üzere çeşitli bilgi türleri sağlanır:-
- Şifre sıfırlama bağlantıları
- Bağlantıları iptal et
- Hesap oluşturma URL’leri
- API anahtarları
- Telegram botları hakkında bilgi
- DocuSign imzalama istekleri
- Amazon hediye teslimat bağlantıları
- Paylaşılan Google Drive bağlantıları
- Dropbox dosya aktarımları
- Bağlantıları SharePoint’e davet edin
- Bağlantıları Discord’a davet edin
- Hükümet Yakınlaştırma davetleri
- PayPal faturaları
- Paypal para talep talepleri
- Cisco Webex toplantı kayıtlarına bağlantılar
- Paket izleme bağlantıları
Bazı API entegrasyonlarının python-requests/2.XY modülünü kullanan genel Python isteklerini kullandığı kaydedildi. Bu, kullanıcı aracıları hesap görünürlük ayarlarını görmezden gelirse, taramaların yanlışlıkla herkese açık olarak gönderilmesine neden olur.
Entegrasyonlar
26 ticari güvenlik çözümünün bir listesi, urlscan.io’nun API’sini entegre etmiştir ve güvenlik çözümleri şunları içerir:-
- Tines – Gelişmiş güvenlik düzenleme ve otomasyon platformu
- Palo Alto Networks Cortex XSOAR – Cortex XSOAR, bugün piyasadaki en kapsamlı SOAR platformudur
- IBM Security SOAR – IBM Security SOAR Platformu
- Cisco SecureX Threat Response – Birlikte çalışan güvenlik
- Splunk SOAR – Güvenlik Otomasyonu ve Düzenleme Platformu
- ThreatConnect – Tehdit İstihbaratı, Analiz ve Düzenleme Platformu
- Polarite – Masaüstünüz için Artırılmış Gerçeklik – Entegrasyon
- Maltego – Grafiksel bağlantı analizleri için kapsamlı bir araç
- Siemplify – Güvenlik Düzenlemesi, Otomasyon ve Olay Müdahalesi
- Kulvar – Güvenlik Düzenleme, Otomasyon ve Müdahale
- Anomali – İşletmelerin güvenlik ürünlerini entegre etmelerini ve tehdit verilerinden yararlanmalarını sağlayan bir Tehdit İstihbarat Platformu
- Exabeam – Daha Akıllı SIEM, Daha İyi Güvenlik
- Rapid7 Komand – Güvenlik araçları için bir düzenleme katmanı
- Rapid7 InsightConnect – Ekiplerinizi ve araçlarınızı hızlandırmak için düzenleme ve otomasyon
- LogicHub – Akıllı Güvenlik Otomasyonu
- FireEye Security Orchestrator – Düzenleme ve otomasyon yoluyla tehdit yanıtını basitleştirin
- RSA NetWitness – Tehdit algılama ve müdahale
- Cybersponse – Güvenlik Düzenleme, Otomasyon ve Olay Müdahale Çözümü
- ArcSight Enterprise Security Manager (ESM) – Gerçek zamanlı tehdit algılama ve yerel SOAR teknolojisi sunan güçlü, uyarlanabilir SIEM.
- FortiSOAR – FortiSOAR, bir güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür.
- Metaspike Adli E-posta İstihbaratı – Uzmanların e-posta sahtekarlığı, iş e-posta güvenliğinin ihlali (BEC), kötü amaçlı yazılım teslimi ve CAN-SPAM Yasası ihlallerini araştırmak için tercihi.
- Nevelex Labs – Security Flow, kurumsal güvenlik için yeni bir otomasyon ve düzenleme aracıdır.
- Sanguine eComscan – eComscan, çevrimiçi mağazalar için akıllı CCTV’dir
- D3 SOAR – MITRE ATT&CK ile Güvenlik Düzenleme ve Otomatik Olay Müdahalesi
- DTonomy AIR – Uyarlanabilir Zeka ile SOLUN
- Joe Sandbox Cloud – Kötü Amaçlı Yazılımlar için Bulutta Otomatik Derin Kötü Amaçlı Yazılım Analizi
- Hibrit Analiz – Bilinmeyen tehditleri tespit eden ve analiz eden topluluk için ücretsiz kötü amaçlı yazılım analiz hizmeti
Bu API’yi doğrudan SaaS teklifinde kullanan GitHub da dahil olmak üzere, muhtemelen bu listede eksik olan daha birçok kurumsal müşteri vardır.
Darbe
Şirket tarafından bulunan birkaç URL, iCloud dosyalarına genel olarak paylaşılan bağlantılar da içeriyordu ve bazıları Apple etki alanlarına aitti. Bu şimdi düzeltildi ve kaldırıldı.
Positive Security’nin iletişim talebine ve sızdırılan e-posta adreslerine yanıt olarak, bilinmeyen bir kuruluş onlara yanıt verdi.
Görünüşe göre sızıntı, Urlscan.io’nun bir DocuSign sözleşmesinde bir iş sözleşmesi bağlantısıyla entegre edilen SOAR çözümünün yanlış yapılandırılmasından kaynaklandı.
Positive Security, tam değerlendirmesini tamamladıktan sonra, Temmuz ayında Urlscan.io’yu bulguları hakkında bilgilendirdi. Bunu Urlscan.io’nun geliştiricileri ile işbirliği içinde yaparken ve kusuru çözmek için bir çözüm buldular.
Sonuç olarak, bir sonraki ay yeni bir motor sürümünün piyasaya sürülmesiyle gelişmiş bir tarama görünürlük arayüzü ve ekip çapında görünürlük ayarları tanıtıldı.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin