Onderzoekers spioneren met afgekorte linkjes

Een afgekorte link in Google Maps NOS, Google

Google en Microsoft zijn op de vingers getikt voor het gebruik van afgekorte url's. Onderzoekers controleerden duizenden van die linkjes en vonden veel privacygevoelige informatie, zoals persoonlijke documenten, medische informatie en huisadressen. 

Afgekorte url's maken het delen van internetpagina's makkelijker. Links van bijvoorbeeld bit.ly en tinyurl.com worden veel gebruikt om te verwijzen naar veel langere url's. Die zijn makkelijker over te tikken of passen beter in een tweet. 

71 miljoen linkjes

Het levert ook een beveiligingsrisico op, want als je eenmaal weet hoe de kortere links worden opgebouwd, kun je dus sneller achterhalen waar andere gebruikers naar verwijzen. En dat is precies wat onderzoekers van Cornell Tech hebben gedaan. Ze checkten duizenden url's die automatisch werden aangemaakt door Microsoft en Google. "Je genereert gewoon willekeurig de linkjes om te zien wat erachter zit", zegt onderzoeker Vitali Shmatikov tegen Wired.

Microsoft maakte gebruik van afgekorte links voor de dienst OneDrive, een cloud-platform waar gebruikers bestanden kunnen opslaan en delen. De onderzoekers controleerden meer dan 71 miljoen linkjes naar OneDrive en vonden op die manier meer dan 24.000 mappen van OneDrive-gebruikers. 

Risico op virus

"Mappen die bedoeld zijn om alleen met vrienden of collega's te delen, zijn feitelijk openbaar," zegt Shmatikov. Bij 7 procent van de gebruikers konden de onderzoekers zelfs bestanden of mappen aanpassen. Op die manier zouden ze makkelijk een virus kunnen verspreiden, omdat OneDrive vaak gekoppeld is aan de computer van de gebruiker, zeggen de onderzoekers.

Google gebruikt afgekorte url's voor Google Maps, de gratis kaarten en navigatiedienst. De onderzoekers wisten meer dan 23 miljoen linkjes naar Google Maps te achterhalen. Daar zaten ook routebeschrijvingen tussen. 

Abortuskliniek

Omdat veel routes begonnen bij een thuisadres konden de onderzoekers zien wie waarnaartoe wilde rijden. "We vonden bestemmingen naar kankerklinieken en psychiatrische instellingen", beschrijven de onderzoekers. "Zo vonden we bijvoorbeeld een route naar een abortuskliniek, die begon bij het huis van wat later bleek een jonge dame."

Naar aanleiding van het onderzoek is Microsoft gestopt met het automatisch maken van afgekorte linkjes. Google gebruikt voortaan langere linkjes, wat het probleem niet oplost maar het spioneren wel lastiger maakt. De onderzoekers willen vooral gebruikers waarschuwen. "Mensen denken dat ze met een korte url's iets met een kennis delen", zegt Shmatikov. "Maar feitelijk delen ze het met de hele wereld."

Het complete onderzoek