De verkorte url's die voor clouddiensten als Microsoft OneDrive worden gebruikt zijn een privacyrisico waardoor documenten in handen van derden kunnen komen, zo waarschuwen twee onderzoekers in een onderzoek (pdf) dat anderhalf jaar in beslag nam.
Op internet zijn verschillende diensten actief die url's verkorten, zoals bit.ly en goo.gl. De gegenereerde url's zijn echter zo kort dat ze via een brute force-aanval zijn te achterhalen, aldus onafhankelijk onderzoeker Martin Georgiev en Vitaly Shmatikov van Cornell Tech. Het onderzoek van de twee richtte zich specifiek op twee clouddiensten die over een ingebouwde url-verkorter beschikken, namelijk cloudopslagdienst Microsoft OneDrive en Google Maps. Als een gebruiker een map of document met een andere gebruiker wil delen genereert de dienst een verkorte url.
Deze url is echter via een brute force-aanval te achterhalen, waardoor de bestanden ook door derden kunnen worden ingezien. De onderzoekers besloten 100 miljoen bit.ly-links te scannen. 42% wees naar een werkende url en daarvan wezen bijna 20.000 url's naar mappen en bestanden op OneDrive. De OneDrive-url heeft een voorspelbare structuur. Zo is het mogelijk om van een gedeeld document naar de hoofd-url te gaan en zo andere gedeelde bestanden en mappen te benaderen. Op deze manier wisten de onderzoekers ruim 227.000 toegankelijk OneDrive-documenten te achterhalen, waaronder tienduizenden pdf-bestanden, Word-documenten, spreadsheets, mediabestanden en uitvoerbare bestanden.
Een soortgelijke scan van 100 miljoen willekeurige door bit.ly verkorte url's leverde 1,1 miljoen publiek toegankelijke OneDrive-documenten op. De onderzoekers besloten de inhoud van de documenten niet te bekijken, maar aan de hand van de meta-data bleek het om gevoelige en persoonlijke informatie te gaan. Verder bleek dat het bij 7% van de gevonden OneDrive-mappen mogelijk was om te schrijven. Op deze manier kunnen bestanden worden aangepast en bijvoorbeeld worden vervangen door malware.
Ook in het geval van Google Maps werden tal van actieve links gevonden, bijna 24 miljoen om precies te zijn. In 10% van de gevallen ging het om mappen met een routebeschrijving, onder andere naar gevoelige locaties zoals klinieken voor kanker, psychiatrische aandoeningen, verslavingen en abortus, maar ook stripclubs en gevangenissen. De beschrijvingen bevatten vaak voldoende informatie om de persoon of personen in kwestie te identificeren. Zo werd in één geval het adres, naam en leeftijd van een jonge vrouw gevonden die de route vanaf haar huisadres naar een zwangerschapskliniek had gedeeld.
Na hun ontdekking besloten de onderzoekers Google en Microsoft te informeren. Microsoft stelde vorig jaar augustus dat het geen maatregelen zou nemen, omdat de werking van de url-verkorter zo bedoeld was. Sinds maart van dit jaar is de url-verkorter echter niet meer beschikbaar binnen OneDrive en blijkt het niet meer mogelijk te zijn om via één gedeelde link de hoofd-url te vinden, maar Microsoft stelt dat dit niets met het onderzoek te maken heeft. Alle eerder gegenereerde verkorte OneDrive-links zijn nog steeds kwetsbaar. Google ondernam na te zijn ingelicht meteen actie. Zo is de lengte van de verkorte url verlengd en zijn er andere maatregelen tegen het scannen van bestaande verkorte url's genomen.
De onderzoekers adviseren clouddiensten om geen tokens in verkorte url's te gebruiken en gebruikers te waarschuwen dat een verkorte url de content achter de originele url aan derde partijen kan blootstellen. Verder wordt clouddiensten geadviseerd een eigen url-verkorter te gebruiken en het scannen naar actieve url's te beperken, bijvoorbeeld door het invoeren van een captcha. Als laatste moet het ontwerp zo zijn dat het lekken van een enkele url niet alle gedeelde url's in het account in gevaar brengt.
Deze posting is gelocked. Reageren is niet meer mogelijk.