Cách đây nhiều năm, người ta đã biết rằng nhờ khả năng che giấu địa chỉ thực, các địa chỉ rút gọn có thể bị tin tặc lợi dụng để đánh lừa người dùng, lây lan mã độc. Đến đầu năm 2016, chúng ta lại được biết thêm rằng, cấu trúc có vẻ khó hiểu của các địa chỉ rút gọn vẫn có thể bị “giải mã”, gây hại cho người dùng theo hướng ngược lại. Hơn thế, do các mã rút gọn đó quá ngắn nên toàn bộ các URL có thể bị dò quét. Và địa chỉ đầy đủ có thể bị công khai, bị bất kỳ ai đủ kiên nhẫn và có trong tay vài chiếc máy tính tìm ra.
Sau 18 tháng nghiên cứu, Vitaly Shmatikov, giáo sư trường đại học Cornell Tech, cùng với tiến sĩ an toàn máy tính Martin Georgiev đã công bố kết quả cho thấy các dịch vụ rút gọn địa chỉ web có thể tác động xấu đến vấn đề bảo mật và quyền riêng tư. Tuy mới phân tích một số địa chỉ rút gọn của hai dịch vụ điện toán đám mây Microsoft OneDrive và Google Maps, nhưng các nhà nghiên cứu đã có thể rút ra những kết luận hữu ích. Địa chỉ rút gọn của cả hai dịch vụ đều có thể bị dò quét và để lộ địa chỉ gốc một cách vô tình.
OneDrive tạo các địa chỉ rút gọn cho các tài liệu và thư mục với tên miền 1drv.ms. Đây thực ra là dịch vụ được gắn tên thương hiệu do Bitly cung cấp và dùng cùng kiểu token với bit.ly. Trong số 100 triệu địa chỉ rút gọn có 6 ký tự của bit.ly được chọn ngẫu nhiên, có tới 42% được các nhà nghiên cứu tìm ra địa chỉ thực. Trong đó, 19.524 URL dẫn tới các tệp và thư mục trên OneDrive/SkyDrive và phần lớn trong số đó vẫn còn hiệu lực.
Nhưng đó mới là sự mở đầu. Điều nguy hiểm hơn là OneDrive URL có cấu trúc có thể đoán được. Từ URL trỏ tới một tài liệu chia sẻ duy nhất, người ta có thể dựng được URL gốc và tự động lần ngược lại tài khoản, khám phá tất cả các tệp và thư mục do tài khoản đó chia sẻ (với cùng mức phân quyền hay không có quyền).
Ví dụ như bạn có địa chỉ http://1drv.ms/1xNOWV7 dẫn đến tài liệu https://onedrive.live.com/?cid=48…48&id=48…48!115&ithint=folder,xlsx&authkey=!A..q4. Sau khi phân tích URL, tách các tham số cid và authkey, có thể dựng được URL gốc của tài khoản là https://onedrive.live.com/?cid=48…48&authkey=!A...q4. Từ URL gốc có thể tự động phát hiện URL của các tệp và thư mục được chia sẻ khác (tuy nhiên phương pháp dịch ngược đã bị vô hiệu từ tháng 3/2016).
Để tìm các tệp, chỉ cần phân tích mã các trang HTML và tìm các thuộc tính href có chứa &app=, &v=, /download.aspx? hay /survey?. Để tìm các thư mục, chỉ cần tìm các liên kết bắt đầu với https://onedrive.live.com/ có chứa cid của tài khoản đó. Các nhà nghiên cứu đã dò được URL dẫn tới 227.276 tài liệu công khai trên OneDrive, trong đó bao gồm mấy chục ngàn tệp PDF, Word, bảng tính, các tệp media và tệp thi hành. Dò quét tương tự với 100 triệu địa chỉ rút gọn có 7 ký tự của bit.ly làm lộ ra 1.105.146 URL của các tài liệu công khai trên OneDrive. Chỉ cần xem xét metadata của những tài liệu đó cũng có thể thấy là có rất nhiều tài liệu chứa thông tin nhạy cảm.
Trong số các thư mục OneDrive được tìm ra theo cách trên, có khoảng 7% được phân quyền ghi (cho tất cả mọi người). Điều này có nghĩa là bất kỳ ai dò quét ngẫu nhiên các địa chỉ rút gọn bit.ly có thể tìm thấy hàng ngàn thư mục OneDrive mở và có thể sửa đổi những tệp có sẵn hay tải lên những tệp bất kỳ, kể cả mã độc. Trình quét virus của Microsoft trên OneDrive có thể bị qua mặt tương đối dễ dàng (ví dụ: chương trình này thậm chí không phát hiện được virus thử nghiệm EICAR nếu kẻ tấn công nén nó lại). Hơn thế, OneDrive còn đồng bộ nội dung của tài khoản tới máy khách, giúp mã độc được tự động tải xuống tất cả các thiết bị của người dùng.
Trước tháng 9/2015, các địa chỉ rút gọn goo.gl/maps gồm 5 ký tự. Kết quả quét ngẫu nhiên các địa chỉ đó đã tìm ra 23.965.718 liên kết còn hiệu lực, trong đó 10% là bản đồ cùng với chỉ dẫn lái xe. Các bản đồ chỉ dẫn đó trỏ tới rất nhiều địa điểm nhạy cảm: các phòng khám bệnh chuyên ngành (bao gồm ung thư và các bệnh về tâm thần), các trung tâm cai nghiện,...
Điểm đầu của các chỉ dẫn lái xe đó thường có đủ thông tin (ví dụ như địa chỉ nhà riêng) để xác định danh tính của người yêu cầu chỉ đường. Đáng lưu ý là đã có nhiều công trình nghiên cứu về việc suy đoán thông tin của các cá nhân từ dữ liệu về địa chỉ. Crandall đã xác định được quan hệ xã hội giữa những người khác nhau từ sự xuất hiện đồng thời của họ tại các địa chỉ, Isaacman xác định được những nơi quan trọng trong cuộc sống của các cư dân từ việc theo dõi lịch sử đi lại của họ, còn Montjoye thì nhận thấy 95% các cá nhân có thể được xác định chính xác chỉ từ 4 vị trí có độ phân giải cao trong lịch sử bản đồ.
Các nhà nghiên cứu đã nhiều lần thử gửi báo cáo về rủi ro bảo mật và quyền riêng tư của các địa chỉ rút gọn OneDrive tới Microsoft Security Response Center (MSRC). Tháng 8/2015, sau khoảng 2 tháng trao đổi qua thư, họ được nhân viên của Microsoft thông báo rằng khả năng chia sẻ tài liệu qua các địa chỉ rút gọn tuân thủ theo thiết kế và không dẫn đến một vụ việc cần MSRC xử lý. Đến tháng 3/2016, lựa chọn rút ngắn địa chỉ không còn tồn tại trên giao diện của OneDrive và phương pháp dò ngược lại tài khoản mô tả trên đây không dùng được nữa.
Tuy nhiên, đến đầu tháng 4/2016, tất cả các địa chỉ rút gọn được sinh từ trước vẫn có thể bị dò quét và lợi dụng. Google Security Team thì phản ứng ngay lập tức khi nhận được thông báo. Tất cả các địa chỉ rút gọn mới của goo.gl/maps đều bao gồm các đoạn mã 11 hay 12 ký tự. Ngoài ra, Google còn áp dụng các biện pháp bảo vệ để hạn chế việc dò quét các địa chỉ rút gọn có từ trước.
Từ kết quả nghiên cứu, hai chuyên gia bảo mật khuyến nghị các nhà cung cấp dịch vụ nên sinh mã dài hơn cho những địa chỉ rút gọn, sửa lại thiết kế để ngăn ngừa khả năng tìm ra toàn bộ thông tin của một tài khoản từ một URL, phát hiện và hạn chế việc dò quét tự động (có thể bằng các kỹ thuật như CAPTCHA), cảnh báo người dùng về khả năng để lộ thông tin cho bên thứ ba. Với những cá nhân/đơn vị không có khả năng tự xây dựng dịch vụ rút gọn địa chỉ, cảnh báo này đặt ra một yếu tố nữa cho quá trình lựa chọn nhà cung cấp, do đó uy tín và điểm số của Bitly có thể bị giảm xuống.