Studie: URL-Verkürzer können Privatsphäre gefährden

Automatische URL-Verkürzer sind praktisch, beinhalten aber auch ein Sicherheitsrisiko. Gekoppelt mit Cloud-Storage-Betreibern können persönliche Daten in fremde Hände fallen.

Es begann vor Jahren mit Diensten wie TinyURL: Services, die lange, sperrige Links auf ein handliches Format stutzen, gerade für das verknappte Twitter äußerst praktisch. Wie eine New Yorker Studie  jetzt zeigte. Das Ganze funktioniert im Grunde wie das auf Verdacht durchgeführte Scannen von Webservern auf Ressourcen, die nicht gegen lesenden Zugriff geschützt sind. Wer Eigenarten und Pfadstrukturen beliebter CMS oder FTP- bzw. Web-Serverversionen gut genug kennt, kann bei unsauber konfigurierten Systemen unter Umständen sensible Daten absaugen.

Ähnlich gestaltet sich das Risiko bei URL-Verkürzern, die alphanumerischen Pfade können abgescannt und persönliche Dateien aus Google Drive, Dropbox oder OneDrive heruntergeladen werden. Microsoft dementierte, dass es sich bei dem verwendeten Verkürzungsfeature um ein Sicherheitsrisiko handelt, schaltete den Dienst aber vergangenen März ab. Umgekehrt können auf diesem Wege auch Dateien in die Cloud-Ordner hochgeladen und auf alle mit dem Konto verknüpften Geräte synchronisiert werden, sagen die Forscher. Ein Umstand, der sicher ebenso wenig wünschenswert ist.

Auch geteilte URLs zu Kartenausschnitten seien ein Problem: Adressen wie die psychiatrische Klinik des eigenen Therapeuten oder ein Gefängnis sind keine Lokalitäten, die man unbedingt mit der eigenen Person assoziiert sehen will.

[quelle]via heise[/quelle]