Перейти к содержанию
Авторизация  
Сталкер

Укорачиватели ссылок помогают злоумышленникам узнавать чужие секреты

Рекомендуемые сообщения

wpid-20141107_213701

Исследователи обнаружили, что ссылки, укороченные при помощи таких сервисов, как bit.ly и goo.gl, упрощают поиск персональной информации в интернете. Перебирая возможные укороченные ссылки одну за другой, легко отыскать документы и страницы, не предназначенные для чужих глаз.

Укорачивающие сервисы позволяют заменить длинный URL со множеством параметров простым и коротким. Как правило, короткий URL начинается с адреса сервиса и заканчивается уникальным токеном длиной 6-7 символов. Короткие ссылки проще пересылать по электронной почте или публиковать в Twitter, куда из-за ограничения длины твита длинная ссылка может и не поместиться.

Независимый исследователь Мартин Георгиев и Виталий Шматиков из Корнелльского университета разработали программу, которая автоматически перебирает укороченные ссылки, генерируемые сервисами 1drv.ms и goo.gl.

1drv.ms — это укорачиватель ссылок, встроенный в облачное хранилище файлов Microsoft OneDrive. Он представляет собой вариант популярного укорачивателя ссылок bit.ly. Исследователи просканировали 100 миллионов шестисимвольных ссылок 1drv.ms и обнаружили, что 42% из них действует. 19524 ссылки вели на документы или папки, хранящиеся в OneDrive. Просканировав ещё 100 миллионов семисимвольных ссылок и анализируя адреса OneDrive, исследователи сумели получить доступ к 1,3 миллионам файлов, хранящимся в OneDrive. 7 процентов найденных папок допускали модификацию.

Укорачиватель goo.gl принадлежит Google и используется, среди прочего, для сокращения ссылок на карты Google Maps. До прошлого сентября длина токена, выдаваемого goo.gl, составляла всего пять символов. Перебирать такие короткие токены ещё проще, чем токены 1drv.ms. Исследователи просканировали 100 миллионов ссылок goo.gl и нашли 23 миллиона ссылок на карты. На 90 процентах из них был отмечен адрес, а на остальных — проложен маршрут. Многие карты были связаны с аккаунтами Google их авторов.

По мнению исследователей, при помощи ботнета все возможные укороченные адреса могут быть просканированы всего за сутки.

После публикации исследования Microsoft отключил укорачивание адресов в OneDrive и затруднил метод анализа полных адресов документов, который использовали авторы работы.

https://xakep.ru/2016/04/18/shorteners/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
Авторизация  

×
×
  • Создать...