Опасность сокращать. Исследование сервисов коротких ссылок

Итак, у вас есть длинная ссылка и вы желаете превратить ее в короткий URL. Решение разумное, но только в случае, когда эта ссылка не является чем-то конфиденциальным. Проанализировав один из крупнейших сервисов коротких ссылок мы обнаружили закономерность, позволяющую получить список этих коротких ссылок.

В большинстве своем такие сервисы используются не частными лицами, как мы ранее предполагали, а компаниями, которые таким образом «шифруют» URL страницы с заказами своих клиентов, отправляя им более короткую ссылку. Напомним, что при переходе по короткой ссылке не требуется проходить авторизацию.

Среди обнаруженных данных были как безобидные страницы-закладки на товары в интернет-магазинах (их было меньше всего), так и более значимые ссылки, например:

Страницы в Google Docs и другие документы в облачных хранилищах

Некоторые из них содержат финансовые данные, пароли к сервисам и прочую конфиденциальную информацию. Часть из этих документов оказалась доступна к просмотру.

Страницы отслеживания курьеров

Страницы заказов в интернет-магазинах

Ввиду того, что у некоторых разработчиков eCommerce-решений доступ к финальной странице заказа возможен по прямой ссылке без авторизации, то они также стали публичны.

Судя по обилию таких страниц, реализовано это в виде API, которое отправляет своим клиентам короткие URL.

Страницы оплаты товаров и услуг

Порой встречается упоминание банковских карт и довольно много страниц с оплатой автомобильных штрафов. Мы вынесли это в отдельный пункт, т.к. они зачастую содержат платежные данные.

Мы связались с владельцами сервисов коротких ссылок и сообщили о проведенном исследовании.

Команда Rebrandy Consulting