Secondo due ricercatori della Cornell Tech di New York, gli Url brevi sono un potenziale pericolo per la privacy

“Dal momento in cui i file memorizzati in cloud sono automaticamente copiati e sincronizzati anche sui computer e sui dispositivi mobili (se gli utenti prevedono questa opzione, ndr), la possibilità di accedere alle risorse locali può portare all’iniezione automatizzata e su larga scala di malware”, hanno scritto  Vitaly Shmatikov e Martin  Georgiev nel report finale dell’indagine. Secondo i due ricercatori della Cornell Tech di New York, i molto pratici Url brevi, che permettono di accorciare i link condivisi con altre persone, sono potenzialmente rischiosi per la privacy. Dopo 18 mesi di analisi, Shmatikov  e Georgiev hanno scoperto che i link composti da soli cinque, sei o sette caratteri sono molto più facilmente individuabili (e sfruttabili) dagli hacker, rispetto alle infinite sequenze di lettere e numeri che compongono gli Url di servizi molto noti sul Web, come Google Maps o le piattaforme di cloud storage. I due esperti hanno esaminato le Api di ricerca del servizio online, effettuando una scansione analoga sui domini ridotti a sette caratteri. Così facendo hanno potuto identificare circa 23 milioni di Url riconducibili a Google Maps, di cui circa il 10 per cento aveva registrato informazioni di viaggio tra una località e un’altra, collegate all’account di Google dell’utente che aveva accorciato l’indirizzo, altri erano indirizzi di ospedali, abitazioni, fino alla individuazione del nome, dell’indirizzo e dell’età di una giovane donna. Ma c’è di più Shmatikov e Georgiev sono riusciti a mettere le mani su oltre ventimila Url che portavano direttamente nel cuore degli account Onedrive/Skydrive di migliaia di utenti Microsoft, con il 7 per cento di cartelle archiviate sulla nuvola con permessi di scrittura. Dopo aver ricevuto lo studio, Google ha incrementato la lunghezza degli indirizzi brevi a 12 caratteri “tokenizzati” e implementato un sistema che blocca la scansione automatica degli URL. Microsoft, invece, ha inizialmente minimizzato la vicenda, ma ha disattivato il servizio di URL shortening su OneDrive. 18 aprile 2016