Encurtadores de URL podem ser prejudiciais para a segurança de serviços em nuvem, aponta estudo

url_face

Encurtadores de URL como o bit.ly ou o goo.gl são ferramentas práticas que reduzem os longos endereços web em versões curtas de 6 ou 7 caracteres. Mas um estudo da Universidade de Cornell revelou que, com algum esforço (usando força bruta), é possível descobrir todo o endereço web à partir da URL encurtada, tornando-o público. O trabalho, conduzido durante 18 meses, mostra que essa característica é especialmente perigosa no que se refere a serviços em nuvem.

Focando em dois serviços (o OneDrive – serviço de armazenamento da Microsoft – e o Google Maps) os pesquisadores descobriram que: “sempre que um usuário compartilha um link para um documento, pasta ou mapa, o serviço oferece a possibilidade de encurtar a URL o que, como demonstramos, torna a URL original totalmente pública, de forma não intencional”.

No caso do OneDrive – cujo domínio “1drv.ms” é operado pelo encurtador bit.ly – os pesquisadores tiveram acesso a mais de 19 mil arquivos e pastas em um universo de 100 milhões de URLs encurtadas escaneadas. A partir delas, foi possível encontrar outros 200 mil documentos e pastas acessíveis no serviço; 7% destas pastas eram passíveis de edição, ou seja, permitiam que um potencial atacante modificasse seu conteúdo, inclusive fazendo o upload de arquivos maliciosos.

Entre os links do Google Maps reduzidos (goo.gl/maps) os autores do estudo conseguiram encontrar mapas com rotas partindo de residências e escritórios para localizações sensíveis como clínicas para tratamento de doenças específicas e centros de detenção juvenil. Em alguns casos, a análise das rotas revelou telefones, nomes dos residentes e outras informações pessoais. Tanto o Google Maps quanto o One Drive já fizeram alterações nos seus serviços, tornando-os mais seguros, segundo o estudo.

Para acessar o trabalho completo (em PDF), clique aqui. Para ler uma versão resumida, clique aqui.