Эксперты по информационной безопасности из Корнелльского универстита обнаружили, что сокращенные ссылки в большинстве сервисов можут представлять огромную опасность. Например, возможна утечка каких-либо данных или загрузка малваря на устройство пользователей. Подробная статья описана учеными на сайте Freedom of Tinker.

Эксперты предположили, что сокращенные ссылки обладают огромным недостатком, а именно небольшое количество символов. Наиболее популярные сокращенные ссылки состоят из 6 или 8 символов, что позволяет методом перебора (или грубой силой(брутфорс), как принято говорить) получить доступ к ресурсам, на которые был сгенерирован короткий URL. Исследователи привели пример: для получения данных 6-символьных токенов одного из самых известных сервисов bit.ly надо потратить около 250000 дней, но с помощью ботнета злоумышленник может получить те же данные всего за сутки.

Эксперты также обратили внимание на различные облачные хранилища данных и картографические сервисы. Проанализировав свыше 42 миллионов адресов bit.ly, исследователи нашли 2904 URL, ссылающиеся на облачный сервис OneDrive, при этом 2603 из них действующие. То есть, если короткий URL использовался для ссылки на олачный сервис(Google Drive, OneDrive и другие), то хакер получит доступ к информации, ссылка на которую никогда не публиковалась в открытом доступе. По словам экспертов, из такой ссылки можно получить доступ и к другому контенту учетной записи пользователя. Эксперты уверяют,  что около 10 процентов аккаунтов Google Drive и OneDrive содержат в себе контент, открытый для записи — это позволяет хакеру произвести массовую загрузку малваря(вредоносного ПО), которое  при синхронизации само установится сервисом на устройство жертвы.

Злоумышленники также могут и узнать данные о пользователе: сопоставив маршруты с одинаковым адресом частного дома в начале или в конце пути хакер может получит все данные о передвижении человека, проживающего по указанному адресу.

Исследователи из Корнелльского университета обратились в Microsoft, после чего Microsoft в 2016 году изменила алгоритм сокращенных ссылок, теперь он генерируется по-другому. Но те короткие URL, которые были сгенерированы до обновления, остались полностью работоспособными, то есть находятся под угрозой. Google перешли с сокращенных ссылок на 10 - 15 токенов, что в разы улучшает защиту данных ссылок. Специалисты утверждают, что использование сокращенных ссылок в настоящий момент все ещё является опасным. Не все сервисы перешли на новый способ защиты ссылок.