کوتاه کننده های URL برای کوتاه کردن لینک هایی به کار می روند که می خواهید در وبلاگ، شبکه های اجتماعی و سرویس های پیام رسانی به اشتراک بگذارید. طی تحقیقاتی که دو پژوهشگر طی 18 ماه مطالعه انجام داده اند، متاسفانه کوتاه کردن لینک ها ممکن است ریسک امنیتی بزرگی نیز برای شما ایجاد کند. برای آگاهی در مورد جزئیات این تحقیق، با سکان آکادمی همراه باشید.
ویتالی شماتیکف به همراه مارتین جورجیف، متدهای کوتاه کردن URL را بررسی کردند که مایکروسافت در اپ ذخیره سازی ابری OneDrive و گوگل در سرویس Maps خود به کار می برند. نتیجه ای که بدست آوردند نگران کننده است. آن ها متوجه شدند که مایکروسافت از سرویس Bitly برای تولید لینک های کوتاه به فایلهای کاربران OneDrive استفاده می کند که این سرویس از ساختاری قابل پیش بینی استفاده می کند. این کار، بررسی آدرس کامل یک فایل و سپس یافتن مابقی فایل های اشتراک گذاری شده توسط آن کاربر خاص را آسان می کند. جالب اینجا است که نتیجه ی این تحقیق فقط پیدا کردن فایل های حاوی اطلاعات حساس نبود، بلکه مقدار کمی از این فایل ها قابل ویرایش نیز بودند. بدین معنی که ممکن بود به راحتی اقدام به وارد کردن بدافزار به آن فایل ها نموده و صدمات جبران ناپذیری به قربانی زد!
وقتی لینک های گوگل مپ را بررسی می کردند، متوجه شدند که می توان URL های دارای توکن پنج کاراکتری را اسکن نمود و موقعیت و مقصد افراد را مشاهده کرد. شاید فکر کنید که به این وسیله فقط می توان به اطلاعات تصادفی دسترسی پیدا کرد ولی آن ها موفق شدند چیزهایی مثل مسیرهای جستجو شده یک کاربر از محل اقامت خود به مکان خانوادگی شخص که در نقشه ثبت شده را به همراه نام کامل و سن فرد پیدا کنند.
خوشبختانه بعد از این که محققان مشکل را با شرکت های مذکور در میان گذاشتند، هر دو سرویس متدهای کوتاه کننده ی لینک خود را اصلاح کردند. به گفته ی آن ها، گوگل بلافاصله پاسخ داده و توکن های 12 کاراکتری را برای لینک های نقشه اش به کار برد و همچنین یک سیستم دفاعی برای جلوگیری بات ها از اسکن لینک هایش پیاده سازی کرد. مایکروسافت اما با مهربانی با محققانی که به ایراد در سرویس اش اشاره کرده بودند پاسخ نداد. اگرچه ماه قبل امکان کوتاه کردن لینک ها را در OneDrive غیر فعال نمود، ولی مشخصا تصمیمی مبنی بر حمایت از این دو فرد برای آشکار کردن این مشکل نگرفته اند.
آیا این بدین معنی است که شرکت ها باید از کوتاه کردن لینک ها دست بکشند؟ شماتیکف اشاره کرد آن ها باید به وضوح به کاربران هشدار دهند که ساختن یک لینک کوتاه به یک فایل، امکان بالقوه ای را فراهم می کند که آن فایل در معرض دید شخص ثالث قرار بگیرد. در عین حال، چند راه برای ایمن تر کردن وجود دارد: استفاده از سرویس کوتاه کننده داخلی شرکت به جای سرویس های عمومی نظیر Bitly، محافظت در برابر بات ها برای اسکن لینک ها به وسیله ی متد هایی نظیر CAPTCHA، و توسعه ی API های قدرتمند که در آن کشف همه ی فایل های اشتراک گذاری شده ی یک کاربر به وسیله ی پیدا کردن یک لینک آسان نباشد.
