Forscher der Cornell Tech University haben herausgefunden, dass Hacker Kurz-URLs von Clouddiensten benutzen können, um auf persönliche Informationen wie Dateien oder sogar Navigationsanweisungen zuzugreifen. Ihrem Forschungsbericht (PDF) zufolge sind die für die verkürzten Links benutzten Tokens zu klein. Ein Angreifer könnte so die tatsächliche URL der freigegebenen Dateien erraten, was es jedem erlauben würde, auf die Dateien zuzugreifen – und nicht nur die Personen, für die sie bestimmt waren.
Das Problem betrifft aber nicht nur Kurz-URLs von Drittanbietern, mit deren Hilfe Links zu in der Cloud gespeicherten Daten verteilt werden, sondern auch die eigenen Kurz-URLs der Cloudprovider. Hier nennen die Forscher als Beispiel von Google bereitgestellte Links zu seinem Kartendienst Maps. Die Tokens von goo.gl/maps ergaben demnach eine Trefferquote von 37,5 Prozent.
Bei der Auswertung der 42,2 Millionen Bit.ly-URLs stießen die Forscher auf 3003 Links zu Dateien und Ordnern der Domain „ondrive.live.com“ und auf weitere 16.521 Dateien und Ordner unter der Domain „skydrive.live.com“. Jeder der 189 Clients entdeckte pro Tag durchschnittlich 43 gültige OneDrive-URLs. Um alle OneDrive/Skydrive-URLs aufzudecken, würde ein Client etwa 245.000 Tage benötigen. „Ein Botnet kann dieses Ziel ohne Probleme an einem Tag erreichen oder sogar noch schneller, wenn der Betreiber in Kauf nimmt, dass IP-Adressen einzelner Bots von Bit.ly blockiert werden“, so die Forscher weiter.
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Microsoft wusste den Forscher zufolge schon seit Mai 2015 von der Schwachstelle. Der Softwarekonzern strich schließlich im März die Funktion zur Generierung von Kurz-URLs für OneDrive, nach eigenen Angaben jedoch nicht aufgrund von Sicherheitsbedenken.
Google informierten die Forscher über das Datenleck im Zusammenhang mit Kurz-URLs für Google Maps im September. Google habe schon eine Woche später die URL-Tokens auf 11 bis 12 Zeichen verlängert, was das Erraten von URLs deutlich erschwere, ergänzten die Forscher.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…