Dịch vụ rút ngắn link của một trang web dài, cụ thể ở đây là Bit.ly, được khá nhiều người sử dụng hiện nay bởi sự thuận tiện của nó, nhưng những link rút gọn này có thể được các hacker lợi dụng để phát tán virus hay malware.
Một nghiên cứu kéo dài trong thời gian hơn một năm rưỡi đã chỉ ra cụ thể các bên liên quan đến vụ việc này đó là Google Maps, Microsoft OneDrive và dịch vụ rút ngắn link Bit.ly.
Cụ thể, nghiên cứu tại Cornell Tech đã chỉ ra, Google Maps và Microsoft OneDrive đã sử dụng dịch vụ rút ngắn link trang web của Bit.ly để tạo ra các địa chỉ web với chỉ 6 kí tự ngẫu nhiên. Google Maps tạo ra địa chỉ web rút gọn cho địa chỉ của nhà bạn, còn Microsoft OneDrive thì dùng để lưu trữ… dữ liệu của bạn.
Chỉ với 6 kí tự ngẫu nhiên, chưa nói đến một hacker, một người bình thường cũng có thể sử dụng một phần mềm để tự tạo ra những cụm 6 kí tự ngẫu nhiên đó, sau đó lọc và phân tích hàng triệu kết quả đó.
Nếu bạn có những công cụ đủ mạnh, bạn có thể tạo ra vô vàn những cụm 6 kí tự ngẫu nhiên, và sau đó bạn chỉ cần “ngẫu nhiên” chọn ra một cụm thôi.
Lưu trữ đám mây của Microsoft cùng lỗ hổng chết người
Về phía Microsoft, công ty này sử dụng các địa chỉ URL rút ngắn của Bit.ly cho các tập file và thư mục của người dùng chia sẻ lên dịch vụ lưu trữ OneDrive của mình.
Các nhà nghiên cứu ở Cornell Tech đã ngẫu nhiên tạo ra khoảng hơn 70 triệu cụm 6 kí tự ngẫu nhiên, trong số đó có tới 24.000 cụm 6 kí tự dẫn tới các dữ liệu của người dùng.
Và với việc đột nhập được vào một file hay thư mục của người dùng, các nhà nghiên cứu đã có thể tìm được tất cả những dữ liệu mà người dùng đó đã chia sẻ trên Microsoft OneDrive, bằng cách đơn giản là dùng URL rút gọn để tìm ra URL gốc.
Với việc dữ liệu “được” tìm thấy dễ dàng như vậy, các hacker hoàn toàn có thể thêm vào các malware hay virus gây hại để làm hại người dùng.
Google Maps cũng dính líu
Đối với Google Maps, các nhà nghiên cứu cũng tìm được kết quả tương tự. Google Maps cũng dùng các link rút gọn của Bit.ly cho các địa chỉ mà người dùng tìm kiếm.
Các nhà nghiên cứu tạo ra 23 triệu URL rút gọn của Google Maps, và kết quả thật đáng kinh ngạc khi 10% số URL đó dẫn tới những địa chỉ mà người dùng đã tìm kiếm. Trong các địa chỉ đó, thường bao gồm cả số nhà cụ thể. Điều này có thể gây ra những vụ đột nhập hay mấy an ninh nếu các dữ liệu này đến tay kẻ xấu.
Vậy liệu bạn có nên sử dụng các link rút gọn nữa hay không? Tất nhiên đừng nên sử dụng chúng cho những dữ liệu tuyệt mật hay nhạy cảm. Khi Cornell Tech đưa ra kết quả nghiên cứu của họ, Google đã phản hồi và cập nhật các URL mạnh hơn với nhiều kí tự hơn, còn Microsoft có lẽ vẫn chưa có phản ứng gì với nghiên cứu này.
Tham khảo Wired