De acordo com uma nova pesquisa, links encurtados de sites como bit.ly e goo.gl revelaram como um invasor pode obter acesso aos seus dados pessoais a partir de uma unidade na nuvem.
Links encurtados podem expor seus dados pessoais
[dropcap]o[/dropcap] o uso de alguns serviços pode encurtar URLs ou links longos e confusos, mas Vitaly Shmatikov professor da Escola Técnica da Universidade de Cornell (Cornell Tech) e pesquisador independente Martin Georgiev descobriu no curso de seu estudo que como um invasor pode obter acesso a seus dados pessoais de uma unidade de nuvem devido a este URL modificado.
Os serviços de links encurtados permitem que você substitua um URL longo por vários parâmetros simples e curtos. Como regra, o endereço curto começa com o endereço do serviço e o token exclusivo termina com 5, 6 ou 7 caracteres. Os links encurtados gerados por serviços como bit.ly, goo.gl possuem um equipamento especial através do qual você pode percorrer todos os endereços curtos e acessar informações importantes na web. Por exemplo, para obter uma base de tokens de 6 caracteres, o serviço bit.ly precisará de cerca de 100 milhões de URLs bit.ly. De acordo com os autores, usando os dados de botnet adequados podem ser obtidos em apenas um dia.
Durante o trabalho, os pesquisadores deram atenção aos serviços de mapeamento e armazenamento em nuvem, como o Microsoft OneDrive e o Google Maps. Quando você envia links para pastas, documentos ou serviços de mapa oferecem aos usuários a possibilidade de gerar links curtos. Depois de analisar 42.229.055 endereços bit.ly curtos, os autores encontraram 3003 links que levam a documentos e pastas localizados no armazenamento do OneDrive. A maioria deles acabou sendo válida.
Assim, se o URL encurtado usado para referenciar dados do serviço de nuvem, o estranho pode obter acesso às informações referidas nunca foram publicadas em acesso aberto. Conforme observado pelos especialistas, de acordo com as informações deste link você pode obter acesso a outros arquivos e pastas desta conta. Como resultado da varredura, os pesquisadores encontraram mais de 227 mil URLs. Documentos do OneDrive disponíveis publicamente, incluindo milhares de arquivos em PDF, Word, planilhas, mídia e assim por diante. Vitaly Shmatikov e Martin Georgiev observaram que a análise usou apenas os metadados, onde os arquivos não são baixados.
De acordo com os especialistas, cerca de 7% das pastas abertas no OneDrive podem ser editadas por qualquer pessoa. Isso permite que os invasores modifiquem um conteúdo existente ou carreguem conteúdo arbitrário, incluindo software malicioso, que carregará automaticamente o serviço nos dispositivos do usuário. Os pesquisadores informaram a Microsoft sobre o problema. Em março de 2016, a empresa alterou o algoritmo de geração de links, mas os links antigos permanecem operacionais e ainda não estão protegidos.
0 Comments