Популярные сканеры на вирусы и вредоносные URL вроде urlscan.io, Hybrid Analysis и Cloudflare radar url scanner хранят у себя большое количество ссылок, которые прошли через сканер. Но оказалось, что эти сервисы также хранят большое количество частных и приватных ссылок:
- совместно используемые файлы в облачных хранилищах (например, Dropbox, iCLoud, Sync, Egnyte, Ionos Hidrive, AWS S3);
- инструменты NAS с облачным подключением (например, Western Digital Mycloud);
- корпоративные коммуникации (Slido, Zoom, Onedrive, Airtable и др.);
- ссылки для сброса пароля, ссылки для входа Oauth.
Так происходит в основном по двум причинам: или сами пользователи по ошибке передают приватные ссылки в сканер, или неправильные настройки сканеров выдают ссылки из писем и т. д.
Специалист по безопасности Vin01 описал уязвимость и связался с разработчиками сканеров для закрытия дыры.
Вот некоторые скриншоты с результатами выдачи, сделанные до закрытия уязвимости на urlscan.io:
Результаты из сканера Hybrid Analysis (принадлежит Crowdstrike):
Cloudflare Radar — ещё один инструмент, которые потенциально может выдавать приватные данные пользователей:
Среди утечек информации в поисковых результатах — личные файлы, включая налоговые документы, счета, фотографии, деловые сообщения, секретные ссылки onetimesecret, записи с устройств умного дома, записи рабочих совещаний.
Выводы
К сожалению, подобные уязвимости до сих присутствуют во многих онлайновых сервисах, в том числе поисковых системах и сканерах. Приватные данные до сих пор легко попадают в публичный доступ, чем могут воспользоваться посторонние лица.
Эти сервисы обычно снимают с себя ответственность. Согласно условиям пользования, люди сами несут ответственность за всю информацию, которую загружают в сканер. Даже если это почтовые письма с приватной информацией.
Более того, на некоторых сканерах есть платная услуга по сканированию закрытых данных, которые не попадают в публичную поисковую выдачу. Например, сервис Cortex от проекта TheHive по умолчанию делает публичными (
public: on) все данные, которые пользователь прогоняет через сканер ссылок (даже если в аккаунте пользователя на urlscan.io установлен приватный режим), так что они впоследствии легко доступны платным пользователям urlscan.io. Соответствующий фрагмент кода: def scan(self, api_key):
headers = {
"Content-Type": "application/json",
"API-Key": api_key,
}
data = '{"url": %s, "public": "on"}' % self.query
r = requests.post(
"https://urlscan.io/api/v1/scan/", headers=headers, data=data, verify=False
)Чтобы избежать случайной утечки своих данных, эксперты Positive Security использовали специальные тестовые ссылки в своём контенте, который прогоняется через сканер уязвимости. Такие «токены» позволяют обнаружить последующий доступ к данным.
Тестовый токен в конце электронного письма, который отправит пинг в случае доступа
Остаётся надеяться, что платные пользователи этих сканеров с осторожностью обращаются с приватными данными пользователями. Но факт в том, что по статистике количество поисковых запросов на поиск приватной информации urlscan.io в 2,5 раза больше, чем публичных запросов.
Исследование Positive Security показало, что даже нажатие кнопки «Сканировать в приватном режиме» не защищает приватную информацию. К ней регистрируются десятки случаев чтения уже в первые часты после сканирования. Причём некоторые из читающих пользуются анонимайзерами.
Так что антивирусы не так уж безопасны. В некоторых случаях они ухудшают систему безопасности, а не улучшают её.
