![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sowohl Google Drive als auch Microsoft OneDrive erm\u00f6glichen Nutzern Kurz-URLs zu generieren, um Inhalte zu teilen. Sicherheitsforschern ist es gelungen, solche Kurz-URLs zum Ausspionieren der Nutzer zu missbrauchen. Noch brisanter: \u00dcber den Ansatz k\u00f6nnen Cyberkriminelle die Online-Speicher kompromittieren und Malware hochladen.<\/p>\n
<\/p>\n
Dabei erm\u00f6glichen die Online-Speicher dem Besitzer die Zugriffsberechtigungen f\u00fcr Dritte dediziert (nur lesen, \u00e4ndern, \u00e4ndern und l\u00f6schen, sowie hochladen) zu vergeben. Ein Kennwort als Zugriffsschutz ist dabei i.d.R. nicht vorgesehen \u2013 Teilen soll ja einfach sein.<\/p>\n Und um das Ganze komfortabel zu gestalten, bieten diese Dienste Linkverk\u00fcrzer an. Bei Microsoft OneDrive konnte man fr\u00fcher noch als Benutzer dediziert entscheiden, ob ein Link auf einen Ordner mit langer URL oder verk\u00fcrzt anzugeben ist. Obiger Screenshot zeigt, dass diese Option nun fehlt \u2013 der Benutzer erh\u00e4lt eine nach festem Schema aufgebaute URL mit einem numerischen ResID-Code.<\/p>\n Problem: Einerseits sind ja Kurz-URLs (oder der oben skizzierte ResID-Code) sehr komfortabel, um eine Freigabe auf einen Online-Speicher zum Teilen an Dritte weiterzugeben. Notfalls kann der Betreffende die Kurz-URL auch eintippen. Ich verwende so was beispielsweise in meinen B\u00fcchern, um URLs auf Webseiten anzugeben. Benutzer von Online-Speichern k\u00f6nnen \u00fcber die betreffenden Links Dritten Zugriff auf die betreffenden Cloud-Inhalte geben. Nur wer den Link kennt, kann auf die Dateien zugreifen \u2013 eine Zugangsbegrenzung per Kennwort gibt es ja \u00fcblicherweise nicht.<\/p>\n Der Pferdefu\u00df an der ganzen Sache: Cyberkriminelle k\u00f6nnten dies Technik der Linkverk\u00fcrzer auch verwenden, um sich Millionen Pseudo-Kurz-URLs selbst zu generieren. Dann werden die fiktiven Kurz-URLs per Script ausprobiert, in der Hoffung, auf einen Treffer in der realen Welt zu sto\u00dfen. Gibt es Treffer auf Online-Speicher, erhalten die Cyberkriminellen Zugriff auf den Inhalt der \"Freigabe\".<\/p>\n Sicherheitsforscher von The Cornell Tech haben jetzt genau diesen Ansatz probiert, nachdem sie bemerkten, dass Dienste von Google (Google Maps) und Microsoft (OneDrive) den Dienst Bit.ly (oder \u00e4hnliche Algorithmen) zur Linkverk\u00fcrzung verwenden. Mit wenigen Computern sei es den Sicherheitsforschern gelungen, den gesamten \"Adressraum\" der genannten Online-Speicher abzuscannen. Von 71 Millionen fiktiven Kurz-URLs wurden 24.000 Treffer bei OneDrive gefunden. Problem: Viele Nutzer denken, dass die Ordner mit den Freigaben \"privat seien\". Und noch schlimmer: 7 % der Treffer verwiesen auf Ordner und Dateien, die \u00e4nderbar waren. Damit w\u00e4re es ein Leichtes, Malware auf die betreffenden Freigaben dieser Online-Dienste hochzuladen und diese gem\u00e4\u00df den vorgefundenen Dateien zu benennen. Weitere Details finden sich in diesem englischsprachigen Artikel<\/a>.<\/p>\n Fazit: Ordner auf Onlinespeichern, die mit Kurzlinks arbeiten und keine Kennw\u00f6rter f\u00fcr eine Zugriffskontrolle bereitstellen, sind als kompromittiert zu betrachten. Wenn man so etwas nutzt, sollte man tunlichst keine Rechte zum Bearbeiten bereitstellen.<\/p>\n Nachtrag:<\/strong>\u00a0Bei heise.de gibt es noch diesen Artikel<\/a>, der sich mehr mit der Analyse von Google Maps-Verl\u00e4ufen befasst.<\/p>\n","protected":false},"excerpt":{"rendered":" Sowohl Google Drive als auch Microsoft OneDrive erm\u00f6glichen Nutzern Kurz-URLs zu generieren, um Inhalte zu teilen. Sicherheitsforschern ist es gelungen, solche Kurz-URLs zum Ausspionieren der Nutzer zu missbrauchen. Noch brisanter: \u00dcber den Ansatz k\u00f6nnen Cyberkriminelle die Online-Speicher kompromittieren und Malware … Weiterlesen Die Site wired.com<\/a> hat das Thema in diesem Artikel<\/a> aufgegriffen. Bei Cloud-Speichern wie Google Drive oder Microsoft OneDrive kann ich als Nutzer Daten hochladen und \u00fcber einen Link mit Dritten teilen.<\/p>\n
Teilen-\u00d6konomie auch bei der Cloud<\/h3>\n
![\"Microsoft](\"https:\/\/gborn.files.wordpress.com\/2016\/04\/onedrive-teilen.jpg\" "\\"Microsoft")
<\/p>\nParasit\u00e4re Cyber-Kriminelle k\u00f6nnen das nutzen<\/h3>\n
Online-Speicher sind potentiell als kompromittiert anzusehen<\/h3>\n