URLs encurtadas podem ser descobertas com força bruta

Este post estava aqui paradinho já tem um tempo. Vi ele no blog do Schneier e como o tempo e a desorganização tomaram um pouco minha vida nos últimos tempos eu acabei por não postar.

Mas acho interessante trazer este assunto a tona aqui, pois vi muito pouca gente postar algo sobre isto, e ao mesmo tempo, há muita gente que acredita que está seguro quando encurta urls mas a coisa não é bem assim.

O que acontece é que as urls produzidas pelo Bit.ly, goo.gl e outros muitos serviços similares são tão curtas que podem ser mapeadas com o uso de força bruta. Em uma varredura ( tudo está aqui neste post ) foi descoberto um grande número de contas do OneDrive com documentos particulares.

Muitas destas contas, por estarem desbloqueadas permitiam que qualquer pessoa injetasse um malware que seria baixado automaticamente por todos que entrassem naquele documento.

Além disto foram descobertas urls que levavam a informações sensíveis tanto de corporações quanto pessoas permitindo a fácil identificação dos indivíduos incluindo visitas a médicos especializados, prisões e até, estabelecimentos adultos.

Na amostra do Google Maps que resultou em 23.965.718 links ainda online 10% deles tinham mapas de direcionamento que incluiam, como já dito, dados de locais sensíveis como clínicas para doenças específicas, clínicas de aborto, centros de tratamento de dependência de tóxicos, clubes de cavalheiros, boites eetc.

E tudo incluía desde as instruções para chegar ao local e outras informações suficientes para chegar a pessoa que pediu aquela informação.

Um dos dados analisados levou os pesquisadores a uma pessoa que compartilhou os dados para chegar a uma clínica de planejamento de paternidade que os levou a um endereço residencial, nome e idade de uma mulher.

Ou seja, é bizarro como alguns metadados e boa condição de pesquisa podem colocar o usuário em problemas muito grandes.

Este post aqui tem os dados completos sobre o assunto. Vale a pena realmente a leitura.