Sous certaines conditions, les pirates pourraient utiliser URLScan pour accéder aux liens de réinitialisation de mot de passe pour d’innombrables services en ligne.

L’outil de sécurité URLScan est en fait destiné à vérifier les liens suspects pour le contenu malveillant. Malheureusement, l’outil a récemment été utilisé à mauvais escient pour prendre en charge de nombreux comptes d’utilisateurs. Parce que de nombreux liens cochés étaient visibles publiquement. Même ceux qui peuvent être utilisés pour réinitialiser les mots de passe.

URLScan promet de vérifier les liens pour le contenu suspect

Le scanner de sécurité URLScan, qui examine les liens vers des sites Web à la recherche de contenus suspects et malveillants, divulgue apparemment une grande quantité d’informations sensibles. Car, comme le rapporte Fabian Bräunlein, co-fondateur de Positive Security, les URL vérifiées par les utilisateurs »aux documents partagés, aux pages de réinitialisation de mot de passe, aux invitations d’équipe, aux factures de paiement et plus encore” afficher et rechercher publiquement.

Selon le rapport publié le 2 novembre, en février 2022, GitHub a informé certains de ses utilisateurs qu’il y avait eu une violation de la vie privée concernant leurs noms de référentiel privé et leurs noms d’utilisateur. En conséquence, la société de cybersécurité basée à Berlin de Bräunlein a lancé une enquête et a examiné de plus près URLScan.

De nombreux liens n’appartiennent pas au domaine public

Il s’est avéré que URLScan héberge « une variété de données sensibles qui peuvent être recherchées et récupérées par un utilisateur anonyme.« Cela inclut des liens pour réinitialiser les mots de passe, se désabonner des newsletters, des e-mails d’inscription, des clés API, des informations sur les bots Telegram, des liens vers des services de stockage en nuage tels que Google Drive ou Dropbox, des liens Zoom, des confirmations de paiement PayPal et des URL pour le suivi des colis.

Selon Bräunlein, certains liens pointant vers des domaines Apple pour des fichiers iCloud ou des invitations de calendrier ont depuis été supprimés. Apparemment, Apple a demandé de supprimer les URL de ses services des résultats d’URLScan. Du moins si celles-ci correspondent à certaines règles prédéfinies.

Les attaquants ont pu utiliser URLScan pour espionner les liens de réinitialisation de mot de passe

Selon l’analyse, certains outils de sécurité censés vérifier les liens contenus dans les e-mails à la recherche de contenu suspect ont transmis toutes les URL des e-mails à urlscan.io en tant qu’analyse publique en utilisant de manière incorrecte l’API URLScan associée. Cela a permis aux attaquants de déclencher des demandes de réinitialisation de mot de passe pour les comptes associés aux adresses e-mail concernées et d’intercepter les liens de réinitialisation via le service. En conséquence, ils pourraient se définir n’importe quel nouveau mot de passe et reprendre complètement les comptes respectifs.

Après que Positive Security ait approché URLScan avec ses observations, le service a parfois demandé à ses utilisateurs de « comprendre les différentes visibilités de numérisation« , tel que « vérifier leurs propres scans pour des informations non publiques“. La société souhaite également utiliser de nouvelles règles de suppression pour supprimer régulièrement les analyses passées et futures qui correspondent à des modèles de recherche prédéfinis. Les listes de blocage sont également destinées à garantir que les utilisateurs ne peuvent pas analyser certains modèles d’URL en premier lieu.