Исследователи обнаружили, что ссылки, укороченные при помощи таких сервисов, как bit.ly и goo.gl, упрощают поиск персональной информации в интернете. Перебирая возможные укороченные ссылки одну за другой, легко отыскать документы и страницы, не предназначенные для чужих глаз.

Укорачивающие сервисы позволяют заменить длинный URL со множеством параметров простым и коротким. Как правило, короткий URL начинается с адреса сервиса и заканчивается уникальным токеном длиной 6-7 символов. Короткие ссылки проще пересылать по электронной почте или публиковать в Twitter, куда из-за ограничения длины твита длинная ссылка может и не поместиться.

Независимый исследователь Мартин Георгиев и Виталий Шматиков из Корнелльского университета разработали программу, которая автоматически перебирает укороченные ссылки, генерируемые сервисами 1drv.ms и goo.gl.

1drv.ms — это укорачиватель ссылок, встроенный в облачное хранилище файлов Microsoft OneDrive. Он представляет собой вариант популярного укорачивателя ссылок bit.ly. Исследователи просканировали 100 миллионов шестисимвольных ссылок 1drv.ms и обнаружили, что 42% из них действует. 19524 ссылки вели на документы или папки, хранящиеся в OneDrive. Просканировав ещё 100 миллионов семисимвольных ссылок и анализируя адреса OneDrive, исследователи сумели получить доступ к 1,3 миллионам файлов, хранящимся в OneDrive. 7 процентов найденных папок допускали модификацию.

Укорачиватель goo.gl принадлежит Google и используется, среди прочего, для сокращения ссылок на карты Google Maps. До прошлого сентября длина токена, выдаваемого goo.gl, составляла всего пять символов. Перебирать такие короткие токены ещё проще, чем токены 1drv.ms. Исследователи просканировали 100 миллионов ссылок goo.gl и нашли 23 миллиона ссылок на карты. На 90 процентах из них был отмечен адрес, а на остальных — проложен маршрут. Многие карты были связаны с аккаунтами Google их авторов.

По мнению исследователей, при помощи ботнета все возможные укороченные адреса могут быть просканированы всего за сутки.

После публикации исследования Microsoft отключил укорачивание адресов в OneDrive и затруднил метод анализа полных адресов документов, который использовали авторы работы.



Оставить мнение