Ninguém gosta de URLs enormes que ficam ocupando espaço com seus caracteres. Como alternativa, muitas pessoas usam encurtadores de links que podem cumprir com seu propósito de deixar endereços menores muito bem, mas podem ser usados por agentes maliciosos para enviar malwares e vírus e expor privacidade e segurança de usuários.
Isso pode ser comprovado em uma pesquisa realizada pelos especialistas Vitaly Shmatikov e Cornell Tech, em colaboração com o pesquisador Martin Georgiev. Eles analisaram métodos de encurtar URLs usados pela Microsoft em seu OneDrive, bem como pelo Google, com seu serviço Maps.
O que identificaram foi que a empresa de Redmond utilizava o serviço Bitly para gerar links menores para os arquivos de usuários do OneDrive, os quais continham uma estrutura previsível – o que possibilita descobrir a URL completa de um único arquivo e, consequentemente, outros arquivos compartilhados pelo usuário (alguns contendo informações sensíveis).
O mais preocupante é que uma pequena porcentagem desses links encurtados estavam habilitados para gravação, o que permite injeção de malware e vírus com facilidade.
Nos links para o Maps, os pesquisadores conseguiram escanear URLs com tokens de cinco caracteres e identificaram itens como localização e destinos dos usuários. Com essas descobertas, os especialistas foram capazes de identificar informações como coisas pesquisadas pelos usuários, e dados como nome completo e idade.
Ambos os serviços alteraram a forma com que encurtam as URLs depois de serem alertados pelos especialistas.
Uma boa maneira de solucionar o problema é usar encurtadores personalizados em vez de serviços abertos ao público, usar métodos Captcha para manter bots longe e até mesmo desenvolver APIs robustas que dificultam a descoberta de arquivos.