10.11.2022 | Сервис сканирования URL-адресов раскрывает личные данные пользователей |
Исследователь кибербезопасности Фабиан Бройнляйн заявил об опасности облачных сервисов поиска информации. В новом отчете Бройнляйна рассматривается общедоступная служба « urlscan.io », которая предоставляет информацию о подозрительных URL-адресах. Сервис позволяет проверить – является ли введённый URL-адрес фишинговым или нет, а также получить дополнительную информацию о нём. По словам Бройнляйна, любой злоумышленник может получить URL-адрес, который пользователь просмотрел на сайте. В ходе эксперимента выяснилось, что если выполнить поиск URL-адреса через другой браузер и IP-адрес, то сервис раскрывает некоторые данные предыдущего поиска. Эти данные, которые на самом деле не должны были быть раскрыты, могут просочиться в виде текстовых строк в URL-адресах, чтобы стать менее заметными для посетителей. Раскрытые данные могут включать:
Бройнляйн также сказал, что многие сторонние инструменты безопасности, как коммерческие, так и с открытым исходным кодом, выполняют автоматический поиск URL-адресов «urlscan.io», если они настроены таким образом. Другими словами, ваше ПО безопасности непреднамеренно может выдавать вашу личную информацию при поиске в Интернете. Исследователь кибербезопасности указал «скрытые поиски», которые злоумышленники потенциально могут использовать для получения личной информации, которые включают, помимо прочих, следующие конфиденциальные данные:
В отчете Бронляйна объясняется, как можно снизить риск утечки личных данных, а также указаны действия сервиса «urlscan.io» по предотвращению раскрытия конфиденциальной информации пользователей. |
Проверить безопасность сайта