Los investigadores de seguridad advierten sobre la filtración de “un tesoro de información confidencial” a través de urlscan.io, un escáner de sitios web en busca de URL sospechosas y maliciosas.
“Las URL sensibles a documentos compartidos, páginas de restablecimiento de contraseña, invitaciones de equipo, facturas de pago y más se enumeran públicamente y se pueden buscar”, dijo el cofundador de Positive Security, Fabian Bräunlein, en un informe publicado el 2 de noviembre de 2022.
La firma de ciberseguridad con sede en Berlín dijo que inició una investigación a raíz de una notificación enviada por GitHub en febrero de 2022 a un número desconocido de usuarios sobre compartir sus nombres de usuario y nombres de repositorios privados (es decir, URL de páginas de GitHub ) a urlscan.io para metadatos. análisis como parte de un proceso automatizado.
Urlscan.io, que ha sido descrito como una caja de arena para la web , está integrado en varias soluciones de seguridad a través de su API .
“Con el tipo de integración de esta API (por ejemplo, a través de una herramienta de seguridad que escanea todos los correos electrónicos entrantes y realiza un escaneo de URL en todos los enlaces) y la cantidad de datos en la base de datos, hay una gran variedad de datos confidenciales que pueden ser buscado y recuperado por un usuario anónimo”, señaló Bräunlein.
Esto incluía enlaces de restablecimiento de contraseña, enlaces de cancelación de suscripción de correo electrónico, URL de creación de cuentas, claves API, información sobre bots de Telegram, solicitudes de firma de DocuSign, enlaces compartidos de Google Drive, transferencias de archivos de Dropbox, enlaces de invitación a servicios como SharePoint, Discord, Zoom, facturas de PayPal, Cisco Grabaciones de reuniones de Webex e incluso direcciones URL para el seguimiento de paquetes.
Bräunlein señaló que una búsqueda inicial en febrero reveló “URL jugosas” pertenecientes a dominios de Apple, algunas de las cuales también consistían en enlaces compartidos públicamente a archivos de iCloud y respuestas de invitación de calendario. Desde entonces han sido eliminados.
Se dice que Apple solicitó la exclusión de sus dominios de los escaneos de URL, de modo que los resultados que coincidan con ciertas reglas predefinidas se eliminen periódicamente.
Positive Security agregó además que se comunicó con varias de esas direcciones de correo electrónico filtradas y recibió una respuesta de una organización no identificada que rastreó la filtración de un enlace de contrato de trabajo de DocuSign a una configuración incorrecta de su solución de Orquestación, Automatización y Respuesta de Seguridad (SOAR ), que se estaba integrando con urlscan.io.
Además de eso, el análisis también encontró que las herramientas de seguridad mal configuradas envían cualquier enlace recibido por correo como un escaneo público a urlscan.io.
Esto podría tener graves consecuencias en las que un actor malintencionado puede activar enlaces de restablecimiento de contraseña para las direcciones de correo electrónico afectadas y explotar los resultados del análisis para capturar las URL y hacerse cargo de las cuentas restableciendo la contraseña que elija el atacante.
Para maximizar la efectividad de tal ataque, el adversario puede buscar sitios de notificación de violación de datos como Have I Been Pwned para determinar los servicios exactos que se registraron utilizando las direcciones de correo electrónico en cuestión.
Urlscan.io, luego de la divulgación responsable de Positive Security en julio de 2022, instó a los usuarios a “comprender las diferentes visibilidades de escaneo, revisar sus propios escaneos en busca de información no pública, revisar sus flujos de trabajo de envío automatizado, [y] hacer cumplir una visibilidad de escaneo máxima para su cuenta.”
También ha agregado reglas de eliminación para eliminar regularmente escaneos pasados y futuros que coincidan con los patrones de búsqueda, indicando que tiene listas de bloqueo de patrones de dominio y URL para evitar el escaneo de sitios web particulares.
“Esta información podría ser utilizada por los spammers para recopilar direcciones de correo electrónico y otra información personal”, dijo Bräunlein. “Los ciberdelincuentes podrían usarlo para apoderarse de cuentas y ejecutar campañas de phishing creíbles”.
