Robado por seis personajes. Los acortadores de enlaces sucumben a la fuerza bruta

Los acortadores de enlaces como bit.ly , goo.gl y otros generan enlaces con un token de 5, 6 o 7 caracteres. Resultó que esto es demasiado poco, por lo que todo el espacio de direcciones puede ser fuerza bruta. El profesor Vitaliy Shmatikov, de la Universidad Tecnológica de Cornell, con un colega, el investigador independiente Martin Georgiev, escaneó el espacio de direcciones de los enlaces acortados y encontró muchos documentos sobre el alojamiento en la nube .

Parecería que esto? ¡Pero resultó que la estructura predecible de una URL larga a veces permite que un documento acceda a otros documentos en el alojamiento o, en general, a todos los documentos !

En particular, hasta marzo de 2016, Microsoft OneDrive alojó una estructura de URL tan larga (descrita a continuación), pero un principio similar podría estar en otros servicios.

OneDrive y otros servicios en la nube incorporan un acortador de enlaces, por lo que se asigna automáticamente una dirección corta a cada documento, incluso con información confidencial. Bueno, si alguien elige esta dirección, puede acceder a la cuenta, editar documentos, implementar el descargador de troyanos, etc.

Los resultados del trabajo de 18 meses, publicaron los investigadores en un informe .

Como se puede ver en el informe, los autores se centraron en dos abreviaturas integradas en OneDrive y Google Maps.

Onedrive

En este caso, la dirección de los documentos y carpetas están codificados en la dirección de dominio 1drv.ms , servido operador Bitly y asignada la misma manera, como en el bit.ly . En otras palabras, cualquier símbolo de exploración bit.ly automáticamente hallazgos y direcciones 1drv.ms . Durante un rastreo de prueba de 100,000,000 URL en el dominio bit.ly con tokens de 6 caracteres seleccionados al azar, el 42% eran URL activas. De estos, 19,524 llevaron a documentos y carpetas en el alojamiento OneDrive / SkyDrive. Pero eso no es todo.

Al final resultó que, las direcciones de OneDrive tienen una estructura predecible. Conociendo la URL completa de un documento, puede construir la URL raíz e ir automáticamente a su cuenta, abrir todos los archivos y carpetas.

Por ejemplo, encontró la URL bruteforce http://1drv.ms/1xNOWV7 , que se resuelve en https://onedrive.live.com/?cid=485bef1a80539148&id=485BEF1A80539148!115&ithint=folder,xlsx&authkey=!AOOp2TqTTSMT54 . Extraemos los

parámetros cid y authkey de la URL larga , mediante la cual construimos la URL raíz de la cuenta: https://onedrive.live.com/?cid=485bef1a80539148&authkey=!AOOp2TqTTSMT5q4 .

Para acceder a un documento específico, debe encontrar elementos con atributos href en el código fuente de la página en un alojamiento en la nube que contenga & app = , & v = , /download.aspx? o / encuesta?(este método en particular no parece funcionar desde marzo de 2016).



Para buscar otras carpetas, debe buscar enlaces que comiencen con onedrive.live.com y que contengan una cuenta cid .

De esta manera, los autores del estudio revelaron otros 227,276 documentos sobre el alojamiento OneDrive.

Por lo general, alrededor del 7% de las carpetas encontradas estaban abiertas para la grabación. No es necesario explicar lo que esto significa, dado lo fácil que es omitir el antivirus OneDrive incorporado.

Mapas de Google

Hasta septiembre de 2015, las direcciones goo.gl/maps tenían tokens de 5 caracteres. El escaneo de una muestra aleatoria reveló 23,965,718 enlaces activos, de los cuales el 10% resultaron ser mapas con indicaciones para llegar en automóvil, incluidos hospitales para pacientes con cáncer y trastornos mentales, centros para alcohólicos y drogadictos, centros de aborto y cárceles. En general, información sensible. Por ejemplo, la ruta desde el centro de aborto a una dirección específica, en principio, sugiere el lugar de residencia de una persona. Si esta es la casa donde vive una mujer, entonces asume una personalidad. Luego, haga un mapa con todas las direcciones donde esta dirección fue el punto inicial o final del movimiento. Aquí hay una tarjeta para una persona.

¿Cómo reaccionaron las empresas?

Después de dos meses de correspondencia, los representantes de Microsoft dijeron que no consideraban que los tokens de fuerza bruta fueran una vulnerabilidad. Sin embargo, algunos de los métodos descritos anteriormente han dejado de funcionar. Cuando se contactó nuevamente con los representantes de Microsoft, negaron que los cambios realizados fueran relevantes para este informe.

Google reaccionó de inmediato, cambió a tokens de 11-12 caracteres y limitó la capacidad de rastrear URL.

Source: https://habr.com/ru/post/es393079/