Martin Georgiev นักวิจัยอิสระ และ Vitaly Shmatikov จากมหาวิทยาลัย Cornell รายงานถึงอันตรายของการใช้บริการย่อ URL ที่ทำให้แฮกเกอร์สามารถเข้าถึงไฟล์ที่แชร์อย่างเป็นความลับได้
ทุกวันนี้บริการแชร์ไฟล์บนคลาวด์ส่วนมากมักมีบริการแชร์ผ่าน URL โดยตรง แต่ URL มักมีโทเค็นที่คาดเดาแทบไม่ได้ฝังอยู่ทำให้แฮกเกอร์ไม่สามารถสแกนหา URL ทั้งหมดที่เป็นไปได้ แต่เมื่อใช้บริการย่อ URL แล้วบริการเหล่านี้มักแปลง URL เป็นรูปแบบที่คาดเดาได้ ทำให้แฮกเกอร์สามารถค้นหาไฟล์ที่ควรถูกแชร์อย่างลับๆ
ทีมงานสแกน URL ที่ถูกย่อของ bit.ly อย่างสุ่มจำนวนหนึ่งร้อยล้านครั้ง และพบ URL ที่ชี้ไปยังไฟล์หรือโฟลเดอร์ของ OneDrive ทั้งหมด 25,594 URL และชี้ไปยัง SkyDrive 21,487 URL ขณะที่ฝั่งกูเกิลพบ 44 URL ไปยังโฟลเดอร์
ทีมงานระบุว่าบริการย่อลิงก์สำหรับ URL ที่มีความเสี่ยงเช่นนี้ควรถูกขยายให้ยาวขึ้นเพื่อยากต่อการสแกน, แจ้งเตือนผู้ใช้ล่วงหน้าว่ามีความเสี่ยงเพื่อให้ผู้ใช้หลีกเลี่ยงการแชร์ URL ที่เป็นความลับผ่านบริการย่อลิงก์, บริการย่อลิงก์ควรมีการป้องกันการสแกน เช่น CAPTCHA
ที่มา - arxiv.org, ThreatPost