Positive Securityは11月2日(現地時間)、「urlscan.io's SOAR spot: Chatty security tools leaking private data|Positive Security」において、セキュリティスキャンを提供するWebサイトから個人情報が漏えいしていると伝えた。URL分析に使用されているセキュリティWebスキャナー「URL and website scanner - urlscan.io」において、機密データの流出の恐れがあるという。
urlscan.ioは、提供元が「Webのサンドボックス」と説明しているWebセキュリティスキャナーサービス。URLを送信することでWebサイトを分析することができ、フィッシングサイトなどの悪意のあるWebサイトを検出可能になっている。また、URLスキャンを他の製品に統合するためのAPIも提供されている。
urlscan.ioによるデータ流出の問題は、2022年2月にGithubがユーザーに対してプライベートリポジトリ名の漏洩があったことを通知するメールから始まったと説明されている。GitHub PagesのWebサイトが、メタデータ解析のための自動処理の一部としてurlscan.ioにURLを送っていたことが内部調査によって判明。この処理によって、GitHubのプライベートリポジトリに関する情報が漏えいしていたことが明らかとなった。
Positive Securityは、調査の結果、urlscan.ioから以下のような機密データがマイニングされる可能性があるとして紹介している。
- パスワードリセットのリンク
- アカウント作成リンク
- APIキー
- Telegramボット
- DocuSign署名リクエスト
- Google Driveの共有ドキュメント
- Dropboxのファイル転送
- SharePoint、Discord。Zoomの招待状
- WebExミーティングの記録
- PayPalの請求書、請求リクエスト
- 荷物追跡リンク
- アマゾンギフト配送リンク
- 配信停止リンク
urlscan.ioはこの問題に対してPositive Securityからの指摘後、調査をサポートし、漏えい件数を減らすためにソフトウェアおよびプロセスの変更を実施したと報告している。
