Gajus - Fotolia

Datenschutz- und Sicherheitsrisiko Kurz-URLs

Das Verkürzen von URLs ist praktisch und kommt nicht nur bei sozialen Medien zum Einsatz. In Sachen Sicherheit ist das nicht unproblematisch.

Die beliebten verkürzten URLs oder Kurz-URLs gehören zu den Sicherheitsrisiken, denen sich Unternehmen zumindest bewußt sein sollten.

So können diese Dienste anfällig für Brute-Force-Angriffe sein und somit Daten wie Dokumenten preisgeben, die nicht dafür gedacht waren.

In der Vergangenheit wurde die Sicherheitsproblematik verkürzter URLs in der Regel mit Social-Engineering-Angriffen in Verbindung gebracht, wenn Angreifer gefährliche Links in E-Mails über verkürzte URLs kaschieren. Die aktuellen Probleme weisen auf ein Sicherheitsproblem hin, das prinzipiell in der Gestaltung dieser verkürzten Webadressen liegt.

Die Kurz-URL-Dienste arbeiten so, dass sie eine Webadresse in eine kürzere, einfachere Zeichenfolge umwandeln, die mit einer bestimmten URL verbunden ist. Diese Dienste werden unter anderem verwendet, um Links, etwa in Social-Media-Beiträgen wie auf Twitter, kommod unterbringen zu können. Wie dem auch sei, einige Dienste bedienen sich der Verkürzung, um Daten zu Benutzerkonten, Abfragen und anderer sensibler Daten zu verschleiern.

Im April 2016 haben Vitaly Shmatikov von der Cornell Tech Universität und Martin Georgiev von der University of Texas eine Studie (PDF) veröffentlicht. Diese zeigt, dass sie Brute-Force-Angriffe gegen verschiedene Verkürzungsdienste durchführen konnten. Dabei verwendeten sie mehrere Systeme, die simultan via APIs oder zugänglichen Link-Formaten erratene URLs nutzten. Die kurzen URLs sind eben so kurz, dass sie sich leichter erraten lassen.

Gelinde gesagt, sind die Ergebnisse dieser Studie beunruhigend. So gelang es den Forschern oft sofortigen und nicht authentifizierten Zugriff auf Microsoft-OneDrive-Konten zu erlangen, inklusive Zugriff auf geteilte Dokumente. Sie konnten auf diese Konten auch Dateien laden, so dass diese dann automatisch auf alle Synchronisationsverzeichnisse des eigentlichen Nutzers geladen wurden.

In Sachen Google-Maps-Links zeigt die Studie ebenfalls unerfreuliche Ergebnisse. Die Forscher konnten archivierte Abfragen und Adressen nachvollziehen, darunter auch viele sensible Ziele wie Gesundheitsreinrichtungen. Abseits der offensichtlichen Datenschutzproblematik bietet der mögliche Zugriff auf Cloud-Storage Angreifern einen neuen Angriffsvektor zur Verteilung von Malware (siehe auch Malware-Verbreitung: Risiko Cloud-Sync-Verzeichnisse).

Das Sicherheitsrisiko für Unternehmen

Das Risiko für Unternehmen durch die verkürzten URLs ist nicht unerheblich. Die Arten von URLs werden in Netzwerkumgebungen nur selten überwacht oder gar blockiert. Damit können Nutzer nur durch die Verwendung verkürzter URLs leicht sensible Daten preisgeben, ohne dass die IT-Abteilung und die Sicherheitsverantwortlichen davon Kenntnis erlangen. Und auch im Nachhinein ist dies in Log-Dateien oder anderen Aufzeichnungen von sicherheitsrelevanten Ereignissen nur schwerlich nachvollziehbar.

Relevante Dokumente des Unternehmens, die in derlei Cloud-Diensten abgelegt werden, können je nach notwendiger Authentifizierung leichter für Angreifer zugänglich sein. Und abseits des direkten Zugriffs auf sensible Daten können die über solche Dienste erlangte Daten leicht für Social-Engineering-Angriffe auf Nutzer missbraucht werden.

Um diesbezüglich die Risiken zu minimieren, sollten Unternehmen einige Punkte beachten: Zunächst sollten die im Unternehmen verwendten Cloud-Dienste hinsichtlich der verwendten URL-Shortener überprüft werden. Da deren Anzahl wahrscheinlich hoch ist, sollten die Sicherheitsverantwortlichen klären, ob gegen die verwendeten Dienste Brute-Force-Angriffe möglich sind, um an die ursprünglichen Daten zu gelangen. Falls dem so ist, überwacht und dokumentiert der Diensteanbieter etwaige Angriffe und benachrichtigt die Nutzer? Nur weil Kurz-URL-Dienste verwendet werden, heißt dies noch nicht, dass gegen diese ein Angriff erfolgreich wäre. Alle Online-Informationen oder Benutzerkonten sollten mit zusätzlichen Authentifizierungen oder anderen Sicherheitsmaßnahmen geschützt werden.

Zudem können Unternehmen ausgehende URL-Anforderungen überwachen und so im Falle eines Falles entsprechende verkürzte URLs blockieren. Auch wenn längst nicht von jeder verkürzten URL ein Risiko ausgeht und die Mehrheit der Dienste unproblematisch ist: Unternehmen sollten über Richtlinien festlegen, welche URL-Shortener zum Einsatz kommen dürfen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close