Опасность коротких ссылок: уязвимость персональной информации

Опасность коротких ссылок: уязвимость персональной информации


Микроблоги дают нам свободу превращения наших мыслей или сообщений в разговоры. Такие социальные сети как Twitter открыли свои двери для такого типа мгновенных коммуникаций. Еще короче, чем 140 символов в Twitter, - это bit . Ly, безумно популярная платформа для сокращения длинных ссылок (URL). Но как всегда, эффективность и удобство Bitly идет рядом с огромными рисками безопасности.

Большинство из нас знают, что такие укороченные ссылки могут быть опасны, потому что… на самом деле мы не знаем, что скрывается за такой «ссылкой». Все, что мы видим, - это сокращенный URL (пока мы не нажмем на него). Нам необходимо использовать специальный сервис, чтобы увидеть первоначальный URL прежде, чем мы нажмем на эту короткую ссылку. Некоторые дополнения к браузерам, например, Unshorten.it (Mozilla Firefox) или LongURL (Google Chrome) были созданы для упрощения этого процесса.
Опасно целиком надеяться на укороченные ссылки
Недавнее исследование, опубликованное группой исследователей из Школы технологий в Корнелльском университете штата Нью-Йорк (США) , показало, что опасность существует не только в самих ссылках, куда они ведут, но также и в том, где Вы открываете эти ссылки.


Также есть угроза для Вашей персональной информации, которая хранится в виде файлов, размещенных в облаках. Например, злоумышленники смогли получить доступ к тысячам файлам, размещенным в OneDrive, Google Drive и Google Maps благодаря таким укороченным ссылкам.
Проблема заключается в том, что эти укороченные URL не только короткие, но и очень предсказуемы. Все они соответствует единой структуре. Очень легко увидеть сотни или тысячи возможных вариантов (автоматически и в считанные секунды), проверяя, направлена ли ссылка на файл в облако.

Когда ссылки попадают в плохие руки

Как говорится в исследовании, URL-адреса в OneDrive имеют определенную структуру. Из ссылки на один «расшаренный» документ (“seed”) можно построить корневой URL-адрес и автоматически траверсировать аккаунт. Следуя данной процедуре, исследователи получили доступ примерно к 1,5 миллионам файлов, включая сотни тысяч документов PDF и Word, электронных таблиц, мультимедиа файлов и исполняемых файлов.

После вскрытия соответствующих ссылок, хакер сможет не только получить доступ к чувствительной информации, содержащейся в этих файлах, но он также сможет воспользоваться преимуществами облака, чтобы заразить мобильные устройства и компьютеры. «Это означает, что любой, кто в случайном порядке просканирует URL-адреса bit . ly , найдет тысячи незаблокированных папок OneDrive и сможет модифицировать существующие файлы или загрузить туда произвольный контент, потенциально включая и вредоносные программы». Такой способ распространения вредоносных программ вызывает тревогу, потому что он является оперативным и эффективным.


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
короткие ссылки уязвимость персональная информация URL хакеры
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.