Сервисы сканирования URL-адресов: замаскированный инструмент хакеров или недоработка разработчиков

[Mr.Dante]

И снова всем привет, уважаемые форумчане! Сегодня не мог не отметить новость, которая касается кибербезопасности напрямую. Есть такой сервис - «urlscan.io», который позволяет вбить в него любой адрес (ссылку), а сервис покажет, фишинговый это URL или нет. Казалось бы, удобная штука, должна помочь пользователям. Но, как я люблю говорить, всегда есть «но».

Фабиан Бройнляйн – продвинутый эксперт в сфере безопасности, решил копнуть этот сервис глубже, и нашел очень печальные последствия. По его словам, хакеры вполне могут узнать, какой именно URL проверял пользователь. А если ввести адрес с другого браузера и под другим IP, то в код встраиваются текстовые куски, которые могут содержать следующие данные:

• код отслеживания;
• имя пользователя;
• код для сброса пароля;
• номер запроса.

Самое интересное, что в Европе много платного ПО, которое выполняет ту же функцию, что и сервис «urlscan.io». Более того, много ПО как раз и базирует свою работу на обращение к этому сервису. Эксперт провел исследование, и выяснил, что из конфиденциальной информации злоумышленники также могут получить и использовать следующую информацию:

• ссылки для создания учетной записи;
• ссылки на доставку Amazon;
• API-ключи;
• запросы подписи DocuSign;
• ссылки на скачивание файлов Dropbox;
• ссылки для отслеживания посылок;
• ссылки для сброса пароля;
• счета PayPal;
• общие документы Google Диска.

Вот так и получается, что ты приходишь узнать про URL, а узнают про тебя. Кстати, с полным отчетом данного эксперта можно ознакомиться тут Будьте бдительны и осторожны!

 

[X-Shar]

А где можно ознакомиться с полным отчетом ?
Непонимаю как сервис получит информацию о других сайтах ?
Взлом браузера ?