Kurzlinks als Risiko für Sicherheit und Datenschutz

Wissenschaftler der Cornell University haben in einer Studie (PDF) bewiesen, dass Kurzlinks im Zusammenhang mit Cloud-Services eine Gefahr für Sicherheit und Datenschutz darstellen. Das Problem liegt darin, dass sich die URLs auf Grund ihrer Kürze von fünf bis sechs individuellen Ziffern alle durchscannen ließen und damit viele Dokumente oder privat geteilte Orte dahinter praktisch offenliegen.

URL shortening, which looks like a relatively minor feature, turns out to have serious consequences for the security and privacy of modern cloud services. In this paper, we demonstrate that the token space of short URLs is so small as to be efficiently enumerable and scannable. Therefore, any short link to an online document or map shared by a user of a cloud service is effectively public.

In der Studie bewiesen die Forscher nicht nur, dass sie externen Zugriff auf Dokumente hatten, sondern dass es bei offenen Cloud-Accounts auch möglich war, Malware in die Ordner zu kopieren. Diese synchronisierte sich dann auf die angeschlossenen Teilnehmer eines Cloud-Accounts. Das war bei sieben Prozent der Accounts der Fall.

Bei den Google-Maps-Kurzlinks entdeckten die Wissenschaftler viele private Orte mit ihrer Methode. Besonders gravierend waren dabei Routen, die sie per Kurzlink herausfanden. Dabei konnten z. B. die Patienten eines Doktors identifiziert werden.

Nachdem die Wissenschaftler Microsoft über das Problem informierten, entfernte das Unternehmen die Kurzlink-Funktion aus OneDrive und änderte die API. Google hingegen verlängerte die Anzahl der Ziffern des Maps-Kurzlinks auf elf bis zwölf Buchstaben und Zahlen.

Generell scheint es also keine gute Idee zu sein, vertrauliche Dokumente und Orte via Kurzlink zu teilen. Die von den Wissenschaftler durchgeführte Methode funktioniert für alle Arten von Kurzlinks.