Los acortadores de URL amenazan tus archivos en la nube

Ya sabíamos los problemas de seguridad de las URLs abreviadas, pero ahora han descubierto que además pueden escanearse para acceder a la información que encierran.

No es la primera vez que un estudio alerta de los problema de seguridad que plantean las URL abreviadas. Hasta ahora sabíamos que estas direcciones acortadas podían ser maliciosas, pero ahora un nuevo informe revela que además son una amenaza para la privacidad cuando un usuario las emplea para intercambiar información en la nube.

Es la principal conclusión a la que han llegado el investigador Vitaly Shmatikov, de la firma Cornell Tech, y el independiente Martin Georgie, tras analizar durante 18 meses los servicios de Microsoft One Drive y Google Maps, ambos servicios en la nube que emplean el acortamiento de URLs.

En su informe aseguran que estos servicios reducen tanto la longitud de las direcciones, dejándolas en 5, 6 ó 7 caracteres, que resulta muy fácil escanearlas, de tal manera que es posible acceder a las URL originales y al contenido que almacenan.  Pero ¿cómo lo han hecho?

OneDrive genera URLs cortas de documentos y carpetas usando el mismo dominio con el que opera Bitly (uno de los acortadores más conocidos). Partiendo de esta premisa, escanearon100 millones de direcciones enbit.ly generando combinaciones aleatorias de seis caracteres, y el 42% les llevaron a URLs reales, de las cuales 19.524 pertenecían a archivos de OneDrive, la mayoría de ellos online.

Y es que la estructura de las URLs de OneDrive las hace muy predecibles, según estos investigadores. A partir de esas URLs que obtuvieron, consiguieron acceder a un total de 1,3 millones de archivos subidos a la nube de OneDrive. Esto les llevó a la conclusión de que aproximadamente el 7% de las URLs de OneDrive estaban vinculadas a archivos abiertos con permiso de escritura.

El proceso que realizan con el acortador de Google fue muy parecido, aunque les resultó más fácil escanearlo porque Maps solo utiliza cinco caracteres para sus URLs abreviadas. Así, consiguieron encontrar 23 millones de direcciones de Google Maps, de las cuales un 10% correspondían a direcciones y recordatorios de localizaciones, algunas de las cuales eran tan delicadas como clínicas para enfermedades específicas (cáncer y enfermedades mentales), centros de desintoxicación o centros donde se practicaban abortos, entre otros.

Además, para más inri, estas direcciones estaban asociadas a cuentas específicas de usuarios, con “la amenaza para la privacidad” que ello supone, tal y como aseguran en el informe.

En cuanto al nivel de información que pueden dar los usuario simplemente compartiendo su ubicación, los investigadores han recordado estudios previos que confirman que es posible indetificar hasta a un 95% de ellos solo a partir de cuatro puntos o incluso extraer sus vínculos sociales a partir de los lugares que frecuentan.

El informe ha sido presentado tanto a Google como a Microsoft y ha tenido consecuencias. El primero ha pasado de utilizar 5 caracteres a 11 y 12 en su acortador de URLs para Maps, mientras que Microsoft ha dejado de ofrecer Bitly directamente en OneDrive y ha aplicado cambios en la estructura de las direcciones para que no sean tan vulnerables.

Vía | freedom-to-tinker.com

Escrito por Lara Olmo

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s