Исследование: Сокращенные ссылки могут привести к утечкам личной информации

Лев Шевченко

Исследователи Cornell Tech опубликовали отчет, в котором рассказали об уязвимости документов и данных, скрытых за сокращенными ссылками. Об этом пишет Wired.

Специалисты Cornell Tech потратили на работу полтора года. К исследованию их подтолкнул тот факт, что сервис Bit.ly, который используют Microsoft и Google для создания коротких URL, генерирует адрес всего из шести символов. При наличии специального оборудования можно перебрать все возможные комбинации коротких адресов и проверить, что кроется за любой из ссылок, говорит ученый Cornell Tech Виталий Шматиков.

От возможного взлома ссылки вас не спасет даже то, что URL преподносится как «закрытый», то есть видимый только автору и тем, с кем он поделился. На самом деле это не так — скрытые адреса оказались доступными любому.

Пользователи Microsoft используют короткие ссылки для того, чтобы делиться файлами и папками хранилища OneDrive. Исследователи сгенерировали более 71 миллиона возможных коротких адресов. 24 тысячи из них вели к чьим-то документам на OneDrive. Ученые уверяют, что они не открывали и не загружали чужие документы. 7% открытых файлов и папок может редактировать кто угодно. А обнаружив полные адреса документов, исследователи получили доступ к остальным загруженным пользователем файлам.

По словам Шматикова, это легкий способ заразить вредоносным ПО огромное число компьютеров. Контент загружается во взломанные папки и затем синхронизируется с остальными устройствами пользователя.

Аналогично выглядит взлом Google Maps. Из 23 миллионов сгенерированных адресов существующими оказались около 10%. Ссылки вмещали маршруты пользователей, которые показывали места их проживания, лечения и т.д.

После обращения исследователей Google удлинил свои короткие адреса до 11-12 символов, а Microsoft начал вовсе избавляться от них.

Загрузить еще