Filehosters lekken privébestanden van gebruikers

Een team van Franse en Belgische academici heeft kwetsbaarheden gevonden in tientallen van de meestgebruikte filehostingservices. Dat zijn sites waar gebruikers eigen bestanden kunnen uploaden, zoals Rapidshare, FileFactory en Easyshare. De sites geven aan elk bestand een uniek nummer, de uniform resource identifier (uri), die meestal ook het webadres bepaalt. Dat nummer is op diverse manieren te achterhalen, blijkt uit het onderzoek (PDF). Daardoor kunnen onbevoegden ook bestanden downloaden die gebruikers privé hadden willen houden.

Crawlers

De wetenschappers hebben op verschillende manieren de uri's van bestanden weten te achterhalen. Dat hebben ze gedaan bij een naar eigen zeggen "significant percentage" van 100 populaire hostingsites. Enkele daarvan staan in de Alexa-lijst van de 500 meestbezochte sites ter wereld.

Ze stellen dat de uri's van de gehoste bestanden, ook files die niet openbaar zijn gedeeld, via zelfgemaakte webcrawlers zijn te achterhalen. Ze hebben binnen een maand duizenden private bestanden op de hostingsites gevonden. Het is ook mogelijk bij te houden vanaf welke ip-adressen de bestanden zijn gedownload. De wetenschappers hebben dat gedaan door zogeheten internet beacons op te nemen in de gedeelde bestanden, die daardoor aangeven waar ze zijn.

De onderzoekers hebben eigen scripts geschreven waarmee ze de uri's teken voor teken lieten gokken. Zo werden 311.000 unieke bestanden achterhaald, waarvan bleek dat grofweg de helft ook door zoekmachines was geïndexeerd. "Het probleem is ernstig doordat zelfs enkele van de meest populaire sites sequentiële id's gebruiken", aldus de onderzoekers. Simpelweg ophogen van het nummer in het webadres kan tot een ander bestand leiden.

Brute force

De bestanden zijn ook via brute-force aanvallen te achterhalen waarbij alle mogelijke combinaties werden geraden. Sommiges sites gebruiken alleen id's met maximaal zes nummers. In dat geval wisten de scripts 1.11 op de 1000 id's goed te gokken.

Sommige sites gebruiken maatregelen als CAPTCHA-codes tegen dit soort geautomatiseerde methodes, maar die blijken ook niet altijd effectief. Zo blijkt het bij sommiges sites mogelijk om misbruik te maken van de links voor het melden van auteursrechtinbreuk of het verwijderen van bestanden. Die links geven dan de eerste tien karakters van een id-nummer van 14 tekens vrij. Brute force-aanvallen hoeven hierdoor nog maar 4 getallen te achterhalen.

Geheim gehouden

De onderzoekers houden de onveilige filehostingsites nog wel geheim. Ze willen namelijk niet uitlokken tot grootschalig misbruik van de door hun ontdekte beveiligingsgaten. De onderzoekers van de universiteit van Leuven en het Franse Eurecom-instituut hebben hun bevindingen in een paper (PDF) gepresenteerd.

De beste beveiliging bij het delen van bestanden op filehostingsites is volgens de onderzoekers het gebruik van encryptie. Dat moet dan al gebeuren op de computer van de gebruiker zelf. De academici wijzen erop dat dit al kan via bijvoorbeeld de Firefox-addon SecureFS. Die browsertoevoeging versleuteld bestanden automatisch voor uploaden en ontsleuteld ze weer bij downloaden.