Файлохостинги почти никак не защищают информацию с ограниченным доступом к ней. Об этом говорится в исследовании французских академиков. Один из самых популярных способов получения доступа к "конфиденциальным" файлам – подобранный вручную URL.
Пользователи заблуждаются, считая, что закачиваемые ими на файл-хостинги документы не видит никто, кроме получателей, если правильно настроить уровни приватности. Например, часто ссылка для скачивания доступна только тому, кто контент закачивает – и он может послать ее ограниченному числу адресатов.
Это не значит, однако, что до ссылки никак не добраться: практика показывает, что URL можно подобрать вручную. И злоумышленники, ворующие данные, вполне себе пользуются этой простой и очевидной "дырой". Исследователям в рамках эксперимента понадобился месяц, чтобы научиться "вскрывать" приватные ссылки и получать доступ к сотням и тысячам единиц информации, как бы не предназначенной для посторонних глаз. Используя скрипты, подбиравшие "уникальные" комбинации в URL, в течение 30 дней был получен доступ к 311 тысячам приватных ссылок для скачивания.
При этом исследователи не уточняют, какие конкретно файлхостинги и файлообменники стали "жертвой" их атак.
Источник: SecurityLab
|
