Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Сервис сканирования URL-адресов раскрывает личные данные пользователей

09/11/22

urlscan-628x353

Исследователь кибербезопасности Фабиан Бройнляйн заявил об опасности облачных сервисов поиска информации. В новом отчете Бройнляйна рассматривается общедоступная служба « urlscan.io », которая предоставляет информацию о подозрительных URL-адресах.

Сервис позволяет проверить – является ли введённый URL-адрес фишинговым или нет, а также получить дополнительную информацию о нём.

По словам Бройнляйна, любой злоумышленник может получить URL-адрес, который пользователь просмотрел на сайте. В ходе эксперимента выяснилось, что если выполнить поиск URL-адреса через другой браузер и IP-адрес, то сервис раскрывает некоторые данные предыдущего поиска.

Эти данные, которые на самом деле не должны были быть раскрыты, могут просочиться в виде текстовых строк в URL-адресах, чтобы стать менее заметными для посетителей.

Раскрытые данные могут включать:

  • код отслеживания;
  • имя пользователя;
  • код для сброса пароля;
  • номер заказа и т.д.

Бройнляйн также сказал, что многие сторонние инструменты безопасности, как коммерческие, так и с открытым исходным кодом, выполняют автоматический поиск URL-адресов «urlscan.io», если они настроены таким образом. Другими словами, ваше ПО безопасности непреднамеренно может выдавать вашу личную информацию при поиске в Интернете.

Исследователь кибербезопасности указал «скрытые поиски», которые злоумышленники потенциально могут использовать для получения личной информации, которые включают, помимо прочих, следующие конфиденциальные данные:

  • ссылки для создания учетной записи;
  • ссылки на доставку Amazon;
  • API-ключи;
  • запросы подписи DocuSign;
  • ссылки на скачивание файлов Dropbox;
  • ссылки для отслеживания посылок;
  • ссылки для сброса пароля;
  • счета PayPal;
  • общие документы Google Диска;

В отчете Бронляйна объясняется, как можно снизить риск утечки личных данных, а также указаны действия сервиса «urlscan.io» по предотвращению раскрытия конфиденциальной информации пользователей.

Темы:Угрозыданные пользователейURL
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...