Kurz-URLs von Clouddiensten geben persönliche Dateien preis

Forscher der Cornell Tech University haben herausgefunden, dass Hacker Kurz-URLs von Clouddiensten benutzen können, um auf persönliche Informationen wie Dateien oder sogar Navigationsanweisungen zuzugreifen. Ihrem Forschungsbericht (PDF) zufolge sind die für die verkürzten Links benutzten Tokens zu klein. Ein Angreifer könnte so die tatsächliche URL der freigegebenen Dateien erraten, was es jedem erlauben würde, auf die Dateien zuzugreifen – und nicht nur die Personen, für die sie bestimmt waren.

Am Beispiel des Kurz-URL-Diensts Bit.ly, der Tokens mit 6 Stellen verwendet, erläutern die Forscher ihren Angriff. Von 100 Millionen zufällig generierten Tokens, die sie mit 189 Rechnern bei Bit.ly abgefragt haben, erzielten sie rund 42,2 Millionen Treffer, sprich gültige URLs. „Da scheinbar nicht alle Stellen in Bit.ly-URLs zufällig sind, gibt es Bereiche mit einer höheren Dichte, die gültige URLs mit einer höheren Trefferquote liefern würden“, heißt es in dem Bericht.

Das Problem betrifft aber nicht nur Kurz-URLs von Drittanbietern, mit deren Hilfe Links zu in der Cloud gespeicherten Daten verteilt werden, sondern auch die eigenen Kurz-URLs der Cloudprovider. Hier nennen die Forscher als Beispiel von Google bereitgestellte Links zu seinem Kartendienst Maps. Die Tokens von goo.gl/maps ergaben demnach eine Trefferquote von 37,5 Prozent.

Bei der Auswertung der 42,2 Millionen Bit.ly-URLs stießen die Forscher auf 3003 Links zu Dateien und Ordnern der Domain „ondrive.live.com“ und auf weitere 16.521 Dateien und Ordner unter der Domain „skydrive.live.com“. Jeder der 189 Clients entdeckte pro Tag durchschnittlich 43 gültige OneDrive-URLs. Um alle OneDrive/Skydrive-URLs aufzudecken, würde ein Client etwa 245.000 Tage benötigen. „Ein Botnet kann dieses Ziel ohne Probleme an einem Tag erreichen oder sogar noch schneller, wenn der Betreiber in Kauf nimmt, dass IP-Adressen einzelner Bots von Bit.ly blockiert werden“, so die Forscher weiter.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Microsoft wusste den Forscher zufolge schon seit Mai 2015 von der Schwachstelle. Der Softwarekonzern strich schließlich im März die Funktion zur Generierung von Kurz-URLs für OneDrive, nach eigenen Angaben jedoch nicht aufgrund von Sicherheitsbedenken.

Google informierten die Forscher über das Datenleck im Zusammenhang mit Kurz-URLs für Google Maps im September. Google habe schon eine Woche später die URL-Tokens auf 11 bis 12 Zeichen verlängert, was das Erraten von URLs deutlich erschwere, ergänzten die Forscher.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago