#ИССЛЕДОВАНИЯ
Опасность сокращать
Исследование сервисов коротких ссылок
Первое публичное исследование мы посвящаем людям, которые не сильно заботятся о безопасности данных, передаваемых через сторонние сервисы.
Итак, у вас есть длинная ссылка и вы желаете превратить ее в короткий URL. Решение разумное, но только в случае, когда эта ссылка не является чем-то конфиденциальным. Проанализировав один из крупнейших сервисов коротких ссылок мы обнаружили закономерность, позволяющую получить список этих коротких ссылок.
В большинстве своем такие сервисы используются не частными лицами, как мы ранее предполагали, а компаниями, которые таким образом "шифруют" URL страницы с заказами своих клиентов, отправляя им более короткую ссылку. Напомним, что при переходе по короткой ссылке не требуется проходить авторизацию.
Среди обнаруженных данных были как безобидные страницы-закладки на товары в интернет-магазинах (их было меньше всего), так и более значимые ссылки, например:
Итак, у вас есть длинная ссылка и вы желаете превратить ее в короткий URL. Решение разумное, но только в случае, когда эта ссылка не является чем-то конфиденциальным. Проанализировав один из крупнейших сервисов коротких ссылок мы обнаружили закономерность, позволяющую получить список этих коротких ссылок.
В большинстве своем такие сервисы используются не частными лицами, как мы ранее предполагали, а компаниями, которые таким образом "шифруют" URL страницы с заказами своих клиентов, отправляя им более короткую ссылку. Напомним, что при переходе по короткой ссылке не требуется проходить авторизацию.
Среди обнаруженных данных были как безобидные страницы-закладки на товары в интернет-магазинах (их было меньше всего), так и более значимые ссылки, например:
Страницы в Google Docs
и другие документы в облачных хранилищах
Некоторые из них содержат финансовые данные, пароли к сервисам и прочую конфиденциальную информацию. Часть из этих документов оказалась доступна к просмотру.
Страницы отслеживания курьеров
Такой функцией пользуются курьерские службы, начиная от доставки еды, заканчивая грузоперевозками.
Страницы заказов
в интернет-магазинах
в интернет-магазинах
Ввиду того, что у некоторых разработчиков eCommerce-решений
доступ к финальной странице заказа возможен по прямой
ссылке без авторизации, то они также стали публичны.
Судя по обилию таких страниц, реализовано это в виде API,
которое отправляет своим клиентам короткие URL.
доступ к финальной странице заказа возможен по прямой
ссылке без авторизации, то они также стали публичны.
Судя по обилию таких страниц, реализовано это в виде API,
которое отправляет своим клиентам короткие URL.
Страницы оплаты товаров и услуг
Порой встречается упоминание банковских карт и довольно много страниц с оплатой автомобильных штрафов. Мы вынесли это в отдельный пункт, т.к. они зачастую содержат платежные данные.
Мы связались с владельцами сервисов коротких ссылок и сообщили о проведенном исследовании.
Команда Rebrandy Consulting
Команда Rebrandy Consulting
Следующие статьи
Ваш личный чек-лист для повышения безопасности персональных данных
Исследование безопасности в сети Instagram
Исследование мошеннической схемы по краже заявок
Как получить данные посетителей отеля через систему Bitrix? Легко!
Наши исследования и идеи