Сокращенные ссылки могут привести к утечке личных данных пользователей облачных сервисов

image

Теги: ссылка, утечка персональных данных, вредоносное ПО

При наличии специального оборудования можно перебрать все короткие адреса и получить доступ к важной информации в Сети.

Использование некоторых сокращающих ссылки сервисов может привести к утечке персональных данных, выяснили профессор Технической школы Корнелльского университета (Cornell Tech) Виталий Шматиков и независимый исследователь Мартин Георгиев (Martin Georgiev) в ходе проведенного ими полуторагодового исследования.

Укорачивающие ссылки сервисы позволяют заменить длинный URL со множеством параметров простым и коротким. Как правило, короткий адрес начинается с адреса сервиса и заканчивается уникальным токеном длиной 5, 6 или 7 символов. Сокращенные ссылки, сгенерированные сервисами bit.ly, goo.gl и им подобными, настолько коротки, что при наличии специального оборудования можно перебрать все короткие адреса и получить доступ к важной информации в Сети. К примеру, для получения базы всех 6-символьных токенов сервиса bit.ly потребуется порядка 245 тыс. клиенто-дней. По словам авторов, при использовании соответствующего ботнета данные можно получить всего за сутки.

В ходе работы исследователи обратили внимание на картографические сервисы и облачные хранилища, в частности Microsoft OneDrive и Google Maps. При отправке ссылки на папки, документы или карты сервисы предлагают пользователям сгенерировать короткие ссылки. Проанализировав 42,229,055 коротких адресов bit.ly, авторы обнаружили 3003 ссылки, ведущие на документы и папки, расположенные в хранилище OneDrive. Большая часть из них оказалась действующей.

Таким образом, если укороченный URL использовался для ссылки на данные из облачного сервиса, то посторонний человек может получить доступ к сведениям, ссылка на которые никогда не публиковалась в открытом доступе. Как отметили эксперты, по информации из данной ссылки можно получить доступ к другим файлам и каталогам этой учетной записи. В результате сканирования исследователи обнаружили свыше 227 тыс. публично доступных документов OneDrive, включая тысячи файлов в формате PDF и Word, таблицы, медиа-файлы и пр. Шматиков и Георгиев отмечают, что для анализа использовались только метаданные, сами файлы не загружались.

По словам экспертов, около 7% открытых папок в OneDrive может редактировать кто угодно. Это предоставляет злоумышленникам возможность модифицировать существующий или загрузить произвольный контент, в том числе вредоносное ПО, которое сервис автоматически загрузит на устройства пользователей.

Исследователи проинформировали о проблеме Microsoft. В марте 2016 года компания изменила алгоритм генерации ссылок, однако старые ссылки остались работоспособными и по-прежнему не защищены.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus