安全工具urlscan.io会无意中泄露敏感的URL和数据

11月7日消息，安全团队Positive Security近日发现，网站扫描和分析引擎urlscan.io可泄露敏感的URL和数据。Urlscan.io是一个Web沙箱工具，通过其API集成到多个安全解决方案中。鉴于此API的集成类型以及数据库中的数据量，有大量的数据可被匿名用户搜索和检索。Positive Security在2月份的初步调查中，发现了属于苹果域名的url，其中一些还包括共享的iCloud文件和日历邀请回复链接。最重要的是，分析还发现配置错误的安全工具会将通过邮件收到的所有链接作为公共扫描数据提交给urlscan.io。