Gefährliche ShortlinksHacker wissen, in welches Bordell Sie gehen
Shortlinks bieten Hackern Zugang zu vermeintlich privaten Inhalten. Das sei vor allem problematisch für Google-Maps- und One-Drive-Nutzer, sagen Forscher.
Weil Google Shortlinks verwendet, könnten Hacker rausfinden, wer Wegbeschreibungen ins Bordell abruft.
/Ulrich BaumgartenTwitter-User lieben Shortlinks. Weil der Nachrichtendienst nur eine geringe Anzahl an Zeichen zulässt, nutzen sie Dienste wie Bitly, um endlos lange URLs in hübsche, kurze Alias-Links zu verwandeln. Da sie sowieso vorhaben, öffentlich Daten mit der Welt zu teilen, sind Kurzlinks hier nicht weiter problematisch. Anders ist das jedoch bei der Nutzung durch Firmen wie Google und Microsoft – die Shortlinks können zu privaten Informationen von Google-Maps- und One-Drive-Nutzern führen, warnen Forscher der Cornell University in New York.
Weil Shortlinks ihrem Namen entsprechend viel kürzer sind als die ursprünglichen, seien sie für Hacker leichter auffindbar, heisst es. Mithilfe eines Computerprogramms war es den Wissenschaftlern möglich, Millionen Kombinationen von Bitly-Links zu testen und dabei tausende aktive Adressen zu finden, die zu privaten Inhalten führten.
Zugriff auf private Cloud-Ordner
Der Cloud-Dienst von Microsoft OneDrive zum Beispiel nutzt Bitly-Links, um den Usern das Sharen von Dokumenten und Ordnern zu erleichtern. Die Nutzer teilen diese normalerweise mit einer ausgewählten Gruppe Menschen, im Glauben, dass die Informationen für die Öffentlichkeit unzugänglich sind.
Mithilfe des Such-Algorithmus konnten die Forscher jedoch über 24'000 aktive Shortlinks identifizieren, die zu vermeintlich geschützten OneDrive-Ordnern führten. Bei 7 Prozent davon hätten sie die Dateien sogar bearbeiten können. «Sobald man die Ordner beim Scannen findet, kann man darin ablegen, was man will, und kann es sogar automatisch auf die Festplatte des Users kopieren lassen», erklärt Vitaly Shmatikov, Computerwissenschaftler der Cornell University, gegenüber Wired.com.
Google weiss, wo dein Haus wohnt
Ähnlich einfach konnten die Forscher auch Standorte und Routenpläne von Google Maps abrufen, die als Shortlinks gespeichert waren. Die Wissenschaftler haben über 16'000 Weganfragen zu Spezialkliniken für Krebs oder Geisteskrankheiten sowie zu Rehabilitationszentren für Suchtpatienten, aber auch zu Schönheitschirurgen und Bordellen gefunden.
Da die Menschen oft ihr Zuhause als Startpunkt eingäben, sei die Identifikation des Nutzers einfacher als gedacht, heisst es im Bericht. Um die Problematik zu verdeutlichen, haben die Forscher eine junge Frau aus den Samples rausgepickt, die sich den Weg zu einer Befruchtungsklinik angeben liess. Mithilfe der Daten von Google Maps konnten sie ihre Adresse lokalisieren und in einem weiteren Schritt ihren vollen Namen sowie ihr Alter recherchieren.
Google verlängert Links
Als die Forscher Google im letzten Mai damit konfrontierten, soll das Unternehmen die Shortlinks auf mindestens elf Zeichen verlängert haben. Ausserdem seien Massnahmen eingeleitet worden, um das automatische Scannen der Links zu blockieren, so ein Google-Sprecher. Microsoft hingegen soll die Wissenschaftler anfänglich erst abgewimmelt haben, um sie dann kürzlich wissen zu lassen, dass man dabei sei, die Shortlinks von OneDrive zu entfernen. Laut den Forschern führen die identifizierten, unsicheren Kurzlinks jedoch nach wie vor zu ungesicherten Dokumenten.
Die Wissenschaftler appellieren deshalb sowohl an Unternehmen als auch an die User, man solle sich über die Sicherheitsrisiken von Shortlinks im Klaren sein. «Die Nutzer denken, sie teilen ein Dokument nur mit einem Mitarbeiter. Aber sobald du einen auf sechs Stellen gekürzten Link teilst, teilst du ihn mit der ganzen Welt», so Shmatikov.
