Группа ученых, включающая Ника Никифоракиса (Nick Nikiforakis), Стивена Ван Акера (Steven Van Acker) и Воутера Йосена (Wouter Joosen) из Католического университета Левена (Katholieke Universiteit of Leuven) в Бельгии, а также Марко Балдуззи (Marco Balduzzi) и Давиде Балзаротти (Davide Balzarotti) из Института Евроком (Institute Eurecom) во Франции, обнародовала результаты своих последних исследований, которые указывают на то, что файлохостинги с якобы «ограниченным» доступом почти никак не защищают выложенную на них информацию. Один из самых популярных способов получения доступа к «конфиденциальным» файлам – подобранный вручную URL.
Пользователи заблуждаются, считая, что закачиваемые ими на файл-хостинги документы не видит никто, кроме получателей, если правильно настроить уровни приватности. Например, часто ссылка для скачивания доступна только тому, кто контент закачивает – и он может послать ее ограниченному числу адресатов.
Это не значит, однако, что до ссылки никак не добраться: практика показывает, что URL можно подобрать вручную. И злоумышленники, ворующие данные, вполне себе пользуются этой простой и очевидной «дырой». Исследователям в рамках эксперимента понадобился месяц, чтобы научиться «вскрывать» приватные ссылки и получать доступ к сотням и тысячам единиц информации, как бы не предназначенной для посторонних глаз. Используя скрипты, подбиравшие «уникальные» комбинации в URL, в течение 30 дней был получен доступ к 311 тысячам приватных ссылок для скачивания.
Исследователи не уточняют, какие конкретно файлхостинги и файлообменники стали «жертвой» их атак. Понятно, впрочем, что это не принципиально: приватности в Интернете не существует, и об этом стоит помнить, выкладывая что-то исключительно для определенного круга лиц.
С полным отчетом о результатах проведенного исследования можно ознакомиться здесь.
Источник информации: ВебПланета