Zwei Forscher der Cornell Tech haben Millionen von Links analysiert, die mit bit.ly gekürzt wurden und herausgefunden, dass sie so auf die privaten Informationen hinter den URLs zugreifen konnten.
Die Wissenschaftler generierten mehr als 200 Millionen Short-Links für Seiten, die bei Google und Microsoft gehostet wurden. Dadurch erhielten sie Zugriff auf Millionen von Fahrstrecken und hunderttausende private Dokumente. Um genau zu sein, führten die Links zu Daten von Google Maps und zu Dokumenten, die auf Microsofts OneDrive lagerten.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
Die Forscher gaben auch an, es sei ihnen in der Theorie möglich, Malware und infizierte Dokumente in die OneDrive-Folder hochzuladen. Sobald ein Rechner sich dann mit der Cloud synchronisiert, wäre auch er infiziert.
Studienleiter Vitaly Shmatikov sagt, das Problem mit den kurzen URLs habe „ernsthafte Konsequenzen“ für die Sicherheit von Cloud-Services. „Immer wenn ein User ein Dokument, Ordner oder eine Karte mit einem anderen User teilen will, wird ihm vom Service angeboten, den Link zu kürzen. Das macht, wie wir zeigen konnten, die Original-URL öffentlich“, schrieb er in Blogpost.
„Wir entdeckten zum Beispiel den vollen Namen, die Adresse und das Alter einer jungen Frau, die den Weg zu einer Familienberatung geteilt hatte.“ Microsoft gab an, bereits die File-Shortener aus seinen Sharing-Optionen zu entfernen. Google, dem die Forscher schon 2015 von dem Exploit berichteten, hat die Anzahl der Buchstaben hinter der Domain von 11 auf 12 erhöht. Das mache es Angreifer schwieriger, den Link zu knacken.
Dieser Artikel erschien zuerst bei WIRED UK.