הרשות להגנת הפרטיות פרסמה לאחרונה (20.03.2023) מסמך העוסק בסיכוני אבטחת המידע אשר הנובעים משירותים המאפשרים קיצור קישורים לאתרי אינטרנט (Link).
כידוע, קישור (Link) לכתובות של אתרי האינטרנט עשויים להיות ארוכים, מורכבים ואף לא קריאים למשתמש. על מנת להקל על המשתמשים, ישנם שירותים שונים הממירים כתובת אינטרנט (URL) מסובכת לקישור מקוצר ונגיש יותר שמוביל לאותו היעד. בנוסף לתצוגה האסתטית ישנם יתרונות נוספים כמו, קיצור קישור מאפשר ליצור קישור זמני שתוקפו מוגבל לזמן מסוים, מונע מקרים בהם לא ניתן להגיע לעמוד המבוקש כתוצאה מהעתקה חלקית של הקישור ועוד.
במסמך שפרסמה, הרשות מסבירה כיצד, על אף היתרונות המובהקים שנובעים משימוש בשירות הקישור המקוצר, כדאי להימנע ככל האפשר משירותים מסוג זה או לכל הפחות להיות מודעים לסיכונים ובראשם הפגיעה הפוטנציאלית בפרטיות בעלי האתרים והמשתמשים, ולנקוט צעדי זהירות עם שימוש כזה.
פרסום הרשות שם זרקור על שירות בו רבים עושים שימוש ועם זאת אינם בהכרח מודעים לסיכונים העשויים להיות גלומים בו, בראשם החשש ממלכודות דיוג (Phishing), התחזויות וגניבת מידע, היות שלרוב לא ניתן לדעת לאן הקישור מוביל או איזה מידע נחשף לצדדים שלישיים (כולל מפעילי השירות עצמם).
כמו כן, קישור מקוצר עלול לאפשר מעקב אחר הגישה לאתר המיועד ולנתח מרכיבים שונים כגון הקשות באתר, תדירות ביקורים, דפוסי שיתוף של הקישור, אפקטיביות קמפיינים שיווקיים ועוד. שלל הנתונים ודיאגנוזה שלהם מועברים ונמכרים לעיתים גם לצדדים שלישיים.
מבחינת סיכונים לבעלי האתרים אליהם מיועדים להוביל הקישורים המקוצרים – הרי שניתן בקלות להמיר את הקישור לאחור (Reverse engineering) ולחלץ ממנו את הקישור המקורי וכן להגיע למידע השמור בקישור – לרבות הובלה אל קבצים מוגנים ואף למיקומיהם או זהות המשתמשים בקישור.
הרשות מונה מספר צעדי זהירות עם שימוש בשירות קישור מקוצר, וביניהם –
לבעלי אתרים –
- ככלל מומלץ להימנע משימוש כזה, אלא אם נתבצעה בחינת סיכונים, ובפרט להימנע משימוש בקישור אל כתובות המובילות לעמוד בו נדרשת הזדהות (כגון כניסה לאזור אישי), שכן אז אתר צד ג' המבקש לנצל את הקישור לרעה יכול לנטר את פרטי הזיהוי המוקלדים באתר אליו הגיע המשתמש.
- אין ליצור קישור למידע המהווה חלק ממאגר מידע אם המידע לא מוגן ומאובטח (עם סיסמה, הרשאה או הצפנה).
- אם נעשה שימוש בקישור, יש להתריע וליידע לאן הוא צפוי להוביל ואף לאפשר גישה לכתובת המלאה כדי להפיג חששות משתמשים ולהימנע מניסיונות התחזות, גניבת מידע ושתילת תוכנות זדוניות.
- יש לוודא אמצעי הגנה באתר מפני גישה לא מורשית.
למשתמשים –
- להשתמש בתכונת תצוגה מקדימה, בהתאם לשירות הקיצור בו נעשה שימוש כדי להבין לאן הקישור מוביל. כך למשל, בשירות – preview לתצוגה מקדימה בשירות tinyurl.com יש להוסיף את המילה preview בין מקטע ה- http" ://" לבין מקטע ה-"tinyurl".
- לנסות ולהזין את כתובת האתר הקצרה באתרי בדיקה כמו: getlinkinfo.com; unshorten.it; urlxray.com. ניתן גם להעביר את הקישור דרך סורק וירוסים.
- שימוש באימות דו-גורמי בכניסה לכל חשבון, ובמידת האפשר לאבטח את החשבון בהתקן אימות חומרה פיזי שנתמך על ידי חברות תוכנה. התקן זה מגן גם על הגישה למחשבים, לרשתות ולשירותים מקוונים התומכים בסיסמאות חד פעמיות.
לסיכום, הרשות להגנת הפרטיות ממליצה להימנע ככל האפשר משימוש בשירותי קיצור קישורים, ובמידה ואין ברירה אלא להשתמש, הרשות ממליצה להשתמש באמצעים המגבירים את אבטחת המידע ומצמצים את סיכוני הפגיעה בפרטיות.
