Kurzlinks als Risiko für Sicherheit und Datenschutz

Google Maps Shortlink – jetzt mit mehr Ziffern. Screenshot: maps.google.de

Wissenschaftler der Cornell University haben in einer Studie (PDF) bewiesen, dass Kurzlinks im Zusammenhang mit Cloud-Services eine Gefahr für Sicherheit und Datenschutz darstellen. Das Problem liegt darin, dass sich die URLs auf Grund ihrer Kürze von fünf bis sechs individuellen Ziffern alle durchscannen ließen und damit viele Dokumente oder privat geteilte Orte dahinter praktisch offenliegen.

URL shortening, which looks like a relatively minor feature, turns out to have serious consequences for the security and privacy of modern cloud services. In this paper, we demonstrate that the token space of short URLs is so small as to be efficiently enumerable and scannable. Therefore, any short link to an online document or map shared by a user of a cloud service is effectively public.

In der Studie bewiesen die Forscher nicht nur, dass sie externen Zugriff auf Dokumente hatten, sondern dass es bei offenen Cloud-Accounts auch möglich war, Malware in die Ordner zu kopieren. Diese synchronisierte sich dann auf die angeschlossenen Teilnehmer eines Cloud-Accounts. Das war bei sieben Prozent der Accounts der Fall.

Bei den Google-Maps-Kurzlinks entdeckten die Wissenschaftler viele private Orte mit ihrer Methode. Besonders gravierend waren dabei Routen, die sie per Kurzlink herausfanden. Dabei konnten z. B. die Patienten eines Doktors identifiziert werden.

Nachdem die Wissenschaftler Microsoft über das Problem informierten, entfernte das Unternehmen die Kurzlink-Funktion aus OneDrive und änderte die API. Google hingegen verlängerte die Anzahl der Ziffern des Maps-Kurzlinks auf elf bis zwölf Buchstaben und Zahlen.

Generell scheint es also keine gute Idee zu sein, vertrauliche Dokumente und Orte via Kurzlink zu teilen. Die von den Wissenschaftler durchgeführte Methode funktioniert für alle Arten von Kurzlinks.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

  1. Generell ist es keine gute Idee vertrauliche Dokumente überhaupt über eine öffentlich zugängliche ungeschützte Adresse zu teilen! Wenigstens der Browser kennt diese Adresse. Mit abnehmender Adresslänge steigt lediglich die Wahrscheinlichkeit, dass sie durch Zufall oder Rumspielen noch andere finden.

  2. Wer auf diese Art vertrauliche Informationen offen legt, hat keine Ahnung von der Materie. Das ist kein Netzwerk- sondern ein Kompetenzproblem. Solange das Management von Firmen voraussetzt, dasss selbst die Putzfrau genügend Kenntniss hat und deshalb auf Schulung verzichtet, ist das kein persönlicher Fehler sondern zuerst ein Managementproblem.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.