Популярные сканеры на вирусы и вредоносные URL вроде urlscan.io, Hybrid Analysis и Cloudflare radar url scanner хранят у себя большое количество ссылок, которые прошли через сканер. Но оказалось, что эти сервисы также хранят большое количество частных и приватных ссылок:

• совместно используемые файлы в облачных хранилищах (например, Dropbox, iCLoud, Sync, Egnyte, Ionos Hidrive, AWS S3);
  
• инструменты NAS с облачным подключением (например, Western Digital Mycloud);
  
• корпоративные коммуникации (Slido, Zoom, Onedrive, Airtable и др.);
  
• ссылки для сброса пароля, ссылки для входа Oauth.

Так происходит в основном по двум причинам: или сами пользователи по ошибке передают приватные ссылки в сканер, или неправильные настройки сканеров выдают ссылки из писем и т. д.

Специалист по безопасности Vin01 описал уязвимость и связался с разработчиками сканеров для закрытия дыры.

Вот некоторые скриншоты с результатами выдачи, сделанные до закрытия уязвимости на urlscan.io:






Результаты из сканера Hybrid Analysis (принадлежит Crowdstrike):





Cloudflare Radar — ещё один инструмент, которые потенциально может выдавать приватные данные пользователей:



Среди утечек информации в поисковых результатах — личные файлы, включая налоговые документы, счета, фотографии, деловые сообщения, секретные ссылки onetimesecret, записи с устройств умного дома, записи рабочих совещаний.

Выводы

К сожалению, подобные уязвимости до сих присутствуют во многих онлайновых сервисах, в том числе поисковых системах и сканерах. Приватные данные до сих пор легко попадают в публичный доступ, чем могут воспользоваться посторонние лица.

Эти сервисы обычно снимают с себя ответственность. Согласно условиям пользования, люди сами несут ответственность за всю информацию, которую загружают в сканер. Даже если это почтовые письма с приватной информацией.

Более того, на некоторых сканерах есть платная услуга по сканированию закрытых данных, которые не попадают в публичную поисковую выдачу. Например, сервис Cortex от проекта TheHive по умолчанию делает публичными (public: on) все данные, которые пользователь прогоняет через сканер ссылок (даже если в аккаунте пользователя на urlscan.io установлен приватный режим), так что они впоследствии легко доступны платным пользователям urlscan.io. Соответствующий фрагмент кода:

   def scan(self, api_key):
        headers = {
            "Content-Type": "application/json",
            "API-Key": api_key,
        }
        data = '{"url": %s, "public": "on"}' % self.query
        r = requests.post(
            "https://urlscan.io/api/v1/scan/", headers=headers, data=data, verify=False
        )

Чтобы избежать случайной утечки своих данных, эксперты Positive Security использовали специальные тестовые ссылки в своём контенте, который прогоняется через сканер уязвимости. Такие «токены» позволяют обнаружить последующий доступ к данным.


Тестовый токен в конце электронного письма, который отправит пинг в случае доступа

Остаётся надеяться, что платные пользователи этих сканеров с осторожностью обращаются с приватными данными пользователями. Но факт в том, что по статистике количество поисковых запросов на поиск приватной информации urlscan.io в 2,5 раза больше, чем публичных запросов.

Исследование Positive Security показало, что даже нажатие кнопки «Сканировать в приватном режиме» не защищает приватную информацию. К ней регистрируются десятки случаев чтения уже в первые часты после сканирования. Причём некоторые из читающих пользуются анонимайзерами.

Так что антивирусы не так уж безопасны. В некоторых случаях они ухудшают систему безопасности, а не улучшают её.