Door middel van 'brute force' is het mogelijk om verkorte url's te herleiden tot privé-urls, ontdekten onderzoekers van de Cornell Tech-universiteit in de Verenigde Staten. De onderzoekers keken onder andere naar verkorte Google Maps-, Microsoft OneDrive- en Bit.ly-adressen.
De wijze om de url's te raden is simpel; er worden verkorte url's tot en met zes tekens geraden, totdat er een werkende gevonden wordt. De onderzoekers hadden op die manier via trucs malware kunnen verspreiden, schrijft Wired. Dit hadden ze kunnen doen via bijvoorbeeld Microsofts OneDrive. Ook hadden ze kunnen uitvinden wie bij Google Maps achter de opgevraagde routes naar bijvoorbeeld een abortuskliniek of verslavingszorg zat. Na het onderzoek, maar voor publicatie, stelden de onderzoekers Microsoft en Google op de hoogte. Google heeft het aantal tekens bij Maps sinds 15 september verhoogd naar elf of twaalf en Microsoft heeft de service helemaal uitgeschakeld. Wel zijn oude verkorte url's voor OneDrive nog toegankelijk.
De onderzoekers kregen het idee om het onderzoek te doen nadat ze erachter waren gekomen dat bepaalde Google- en Microsoftdiensten gebruikmaakten van Bit.ly's url-verkorter om url's te genereren van slechts zes, op het oog willekeurige tekens. Dat aantal is zo klein dat het relatief gemakkelijk is om willekeurig url's te genereren en die te bezoeken en te analyseren. Een van de onderzoekers zegt tegen Wired dat het met een niet heel groot aantal machines al mogelijk is om de hele adresruimte te scannen en te zien wat er achter de url's zit.
Het probleem zat vooral in het feit dat Google en Microsoft de dienst gebruikten om verkorte url's te genereren die leidden naar semiprivate documentatie. In het geval van Microsoft genereerden de onderzoekers 71 miljoen url's, waarvan er 24.000 live stonden. Zo'n zeven procent van de bezochte Drive-bestanden of directories bleek door de onderzoekers aan te passen. Op die manier hadden kwaadaardige bestanden aan directories toegevoegd kunnen worden. Als die vervolgens naar een lokale pc zouden synchroniseren, zou het een manier zijn om malware te verspreiden.
Bij Google Maps bleek tien procent van de 23 miljoen gegenereerde url's te herleiden tot een locatie of routebeschrijving. Meer dan 16.000 van de routes leidde naar een ziekenhuis. Andere kaartendiensten vertoonden dezelfde problemen, maar op veel kleinere schaal.