マイクロソフトのOneDriveのショートURLは、攻撃者があなたのプライベートファイルを指摘した

Microsoftは3月に、OneDriveで共有するための短いURLを生成する機能を削除しました。

雲とセキュリティ

MicrosoftはOneDrive for Businessのロードマップを更新し、Microsoft OneDrive for BusinessはSharePointドキュメントの同期を2016年末までに、Ed BottのWeekly WrapはOneDriveの謝罪、iOSとChromeのエンタープライズバグ、Live Writerの返品、Adobeは新しいセキュリティアップデート; MicrosoftはCloud App Securityサービスを一般的に利用可能にする; Security startup Illumioは$ 100mを調達し、Adaptive Security Platformを拡張する; HPEはモバイル、クラウド、IoTのセキュリティ製品を増やす

研究者は、クラウドサービスからの短縮URLが攻撃者によって悪用される可能性があり、ファイルなどの個人的なリソースや医学的予定への道案内を妨げる可能性もあることを発見しました。

コーネルテック大学の研究者らは、MicrosoftのOneDriveやGoogle Mapsなどのクラウドサービスで短いURLを使用することにより、プライバシーリスクが深刻なことを示す論文を発表しています。

短いURLの主な問題は、6文字または7文字の長さのトークンが、攻撃者が共有されるファイルの実際のURLを推測するのに十分小さいことです。したがって、共有されている連絡先だけでなく、ウェブ上の誰でもURLにアクセスできます。

さらに悪いことに、クラウドサービスはクラウドからユーザーのコンピュータにファイルを同期させることが多いため、1つのファイルの短いURLによって、攻撃者はユーザーが所有する他のすべてのファイルにアクセスする可能性があります。

研究者は、この方法で特定されたアカウントの中にマルウェアを注入する可能性があることも発見しました。

MicrosoftのOneDrive、Googleドライブ、Google Maps、Bing Mapsに使用されているURL短縮サービスでも同じ欠陥が発見されました。

Microsoftは3月に、OneDriveで共有するための短いURLを生成する機能を削除しました。しかし、研究者らによると、同社は早期の脆弱性報告のためにその機能を削除することを拒否している。研究者は、昨年5月にマイクロソフトに発行されたことを最初に報告しました。

彼らは9月にMapsのショートURLからの情報漏洩をGoogleに通知した。報告書の1週間以内に、Googleは短いURLトークンのサイズを11文字または12文字に引き上げた。これは推測が容易ではない。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

地図の場合、ショートURLは、連絡先と住所、病院、中絶や矯正施設などの特定の病気や処置に関連する医師などの指示書との間で共有される場所を明らかにすることができることを発見しました。

Softpediaが指摘しているように、OneDriveの短いURLの漏洩を調べるにあたり、研究者は6文字のURLを1億回スキャンしました。 OneDriveフォルダにつながる2万件近くの実際のURLを追跡することができました。

OneDriveの7文字の短いURLの別のスキャンでは、Web上で開いている100万件を超える文書が公開されました。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命