Unter bestimmten Bedingungen konnten sich Hacker durch URLScan Zugriff auf Passwort-Reset-Links unzähliger Online-Dienste verschaffen.
Das Sicherheitstool URLScan ist eigentlich dafür gedacht, verdächtige Links auf bösartige Inhalte zu prüfen. Doch leider ließ sich das Tool zuletzt auch missbrauchen, um zahlreiche Benutzerkonten zu übernehmen. Denn so manch ein geprüfter Link war öffentlich einsehbar. Auch diejenigen, über die sich Passwörter zurücksetzen lassen.
URLScan verspricht, Links auf verdächtige Inhalte zu prüfen
Der Sicherheitsscanner URLScan, der Links zu Webseiten auf verdächtige und bösartige Inhalte untersucht, lässt offenbar eine Vielzahl sensibler Informationen durchsickern. Denn wie Fabian Bräunlein, Mitbegründer von Positive Security, berichtet, lassen sich die von Anwendern geprüften URLs „zu freigegebenen Dokumenten, Seiten zum Zurücksetzen von Passwörtern, Teameinladungen, Zahlungsrechnungen und mehr“ öffentlich einsehen und durchsuchen.
Dem am 2. November veröffentlichten Bericht zufolge hat GitHub im Februar 2022 einige seiner Anwender darüber informiert, dass es zu einem Datenschutzverstoß in Bezug auf ihre privaten Repository-Namen und ihre Benutzernamen gekommen ist. Daraufhin leitete Bräunleins in Berlin ansässige Cybersecurity-Firma eine Untersuchung ein und sah sich URLScan etwas genauer an.
So manch ein Link gehört nicht in die Öffentlichkeit
Wie sich dabei herausstellte, beherbergt URLScan „eine Vielzahl sensibler Daten, die von einem anonymen Benutzer gesucht und abgerufen werden können.“ Darunter auch Links zum Zurücksetzen von Passwörtern, zum Abbestellen von Newslettern, Registrierungs-E-Mails, API-Schlüssel, Informationen über Telegram-Bots, Links zu Cloud-Speicherdiensten wie Google Drive oder Dropbox, Zoom-Links, PayPal-Zahlungsbestätigungen sowie URLs zur Paketverfolgung.
Einige Links, die auf Apple-Domains zu iCloud-Dateien oder Kalendereinladungen verwiesen, seien mittlerweile entfernt worden, so Bräunlein. Angeblich habe Apple darum gebeten, URLs zu seinen Diensten aus den Ergebnissen von URLScan zu löschen. Zumindest wenn diese bestimmten vordefinierten Regeln entsprechen.
Angreifer konnten durch URLScan Passwort-Reset-Links ausspähen
Einige Sicherheitstools, die in E-Mails enthaltene Links auf verdächtige Inhalte untersuchen sollten, haben der Analyse zufolge durch eine fehlerhafte Verwendung der zugehörigen API von URLScan sämtliche in den Mails befindliche URLs als öffentlichen Scan an urlscan.io weitergeleitet. Dadurch war es Angreifern möglich, Passwort-Reset-Anfragen für mit den betroffenen E-Mail-Adressen verknüpfte Konten auszulösen und die Reset-Links über den Dienst abzufangen. Infolgedessen konnten sie sich ein beliebiges neues Passwort setzen und die jeweiligen Accounts vollständig übernehmen.
Nachdem Positive Security mit seinen Beobachtungen an URLScan herangetreten war, forderte der Dienst seine Benutzer mitunter auf, „die verschiedenen Scan-Sichtbarkeiten zu verstehen„, sowie „ihre eigenen Scans auf nicht-öffentliche Informationen zu überprüfen„. Durch neue Löschregeln wolle das Unternehmen außerdem vergangene und zukünftige Scans, die mit vordefinierten Suchmustern übereinstimmen, regelmäßig entfernen. Blocklisten sollen ferner dafür sorgen, dass Anwender bestimmte URL-Muster gar nicht erst scannen können.
