Como uma URL pode quebrar o anonimato
Uma URL parece ser apenas um link.
Mas uma URL pode conter termos de busca, IDs de usuário, informações de sessão, parâmetros de rastreamento e informações sobre a origem do compartilhamento.
Se você compartilhar um link como ele está, suas ações, sua conta ou seu caminho de navegação podem ser transmitidos à outra pessoa.
Ao pensar em anonimato, é necessário verificar URLs antes de publicar.
URLs contêm informações
Uma URL não indica apenas o local de uma página Web.
Ela pode conter informações como as seguintes.
| Informação contida na URL | Exemplo | Atenção para anonimato |
|---|---|---|
| Termo de busca | q=keyword | Interesses e conteúdo pesquisado ficam visíveis |
| ID de usuário | user=12345 | A conta ou a pessoa-alvo fica visível |
| Rastreamento | utm_source=... | De onde veio o acesso fica visível |
| Informação de sessão | session=... | Pode se ligar à conta ou ao estado da operação |
| ID de compartilhamento | share=... | Quem compartilhou ou por qual caminho compartilhou pode permanecer |
URLs carregam mais informação do que aparentam.
A URL é uma string exibida na parte superior do navegador, por isso é uma informação fácil de deixar passar. Mesmo depois de conferir o texto e as imagens, alguém pode acabar colando a URL sem alteração. Mas a URL contém não só "qual página é", e sim também informações que indicam "de qual busca veio", "qual link de compartilhamento é" e "qual operação de conta está envolvida".
No anonimato, a URL deve ser tratada como alvo de verificação antes da publicação, da mesma forma que o texto. Seja um link curto ou longo, veja seu conteúdo antes de compartilhar.
Cuidado com parâmetros de rastreamento
URLs abertas a partir de anúncios, emails, redes sociais e newsletters podem vir com parâmetros de rastreamento.
Por exemplo, strings como utm_source, utm_medium e utm_campaign.
Elas são usadas para analisar de onde a pessoa veio e de qual campanha veio. No anonimato, tornam-se pistas sobre a origem do compartilhamento e o caminho de navegação.
Antes de compartilhar um link, confira parâmetros desnecessários.
Parâmetros de rastreamento são usados para publicidade e análise de acesso. Eles não necessariamente revelam um nome pessoal por si só. Mas podem indicar de qual email, qual rede social, qual campanha ou qual mídia a pessoa veio.
Ao compartilhar links em uma atividade anônima, se parâmetros de rastreamento permanecerem, o caminho de navegação ou a origem do compartilhamento pode ficar visível. Pense separadamente na URL principal da página necessária e nos parâmetros usados para análise.
URLs de busca são especialmente perigosas
A URL de uma página de resultados de busca pode conter os termos pesquisados.
Os termos de busca podem incluir pessoas, regiões, organizações, doenças, preocupações, informações internas, nomes de incidentes e outros dados.
Se você compartilhar a URL dos resultados de busca como ela está, a outra pessoa saberá o que você pesquisou.
Em vez de compartilhar uma URL de busca, é mais seguro conferir e compartilhar a URL da própria página necessária.
Termos de busca mostram diretamente os interesses e o alvo da investigação de uma pessoa. Se você colar sem alteração uma URL usada para pesquisar nome de pessoa, nome de empresa, nome de doença, região, nome de incidente, informação interna ou destino de consulta, o conteúdo pesquisado será transmitido à outra pessoa. Mesmo em capturas de tela, termos de busca podem aparecer na caixa de busca ou na barra de URL.
Mesmo quando quiser compartilhar resultados de busca, pense primeiro no objetivo do compartilhamento. O que você quer mostrar à outra pessoa é o termo de busca ou a página encontrada pela busca? Na maioria dos casos, o necessário não é a página de resultados de busca, mas a própria página-alvo.
Cuidado com URLs enquanto está logado
Em serviços em que você está logado, a URL pode conter informações relacionadas à conta ou ao estado da operação.
Painel administrativo. Página compartilhada. Arquivo em nuvem. Gerenciamento de tickets. Histórico de atendimento.
Se você publicar essas URLs como elas estão, a pessoa-alvo, o caso, a organização ou informações internas podem ficar visíveis.
Além disso, é preciso cuidado com links de compartilhamento acessíveis apenas pela URL. Eles podem estar configurados para serem vistos por qualquer pessoa que conheça o link.
Em nuvem, gerenciamento de tickets, formulários de atendimento, painéis administrativos, sites de e-commerce e sites de reserva, a URL pode conter IDs de alvo ou IDs de operação. Isso não significa necessariamente que alguém consiga fazer login só com a URL, mas nome do caso, ID de usuário, número de pedido, ID de compartilhamento ou ID de organização podem ficar visíveis. Ao publicar uma URL interna, o nome da organização ou do sistema também pode aparecer.
Em links de compartilhamento, confira também as permissões. Todas as pessoas com o link podem ver, ou apenas contas específicas podem ver? É possível baixar? É possível editar? Não só a string da URL, mas também as permissões do link afetam o anonimato.
URLs encurtadas dificultam ver o conteúdo
URLs encurtadas são convenientes, mas tornam o destino do link menos visível.
Para onde ela leva. Se há rastreamento. De quem é o link compartilhado. Se há redirecionamento no caminho.
Esses pontos ficam mais difíceis de entender.
Em situações em que o anonimato é importante, é mais seguro não usar URLs encurtadas sem cuidado. Se necessário, expanda e confira o destino do link.
URLs encurtadas tornam o conteúdo menos claro tanto para quem lê quanto para quem publica. Elas também podem passar por vários redirecionamentos no caminho. O serviço de encurtamento pode registrar número de acessos, horário e informações dos usuários. Em compartilhamentos que exigem anonimato, separe o benefício de encurtar do risco de tornar o caminho menos visível.
Além disso, links encurtados próprios ou criados a partir de um painel de administração podem se ligar ao criador ou à campanha. Priorize reduzir informações identificadoras desnecessárias, não encurtar.
O que verificar antes de compartilhar uma URL
Antes de compartilhar uma URL, confira os seguintes pontos.
- Se ela contém termos de busca
- Se há parâmetros de rastreamento como
utm_ - Se contém ID de usuário ou ID de conta
- Se há alguma string que pareça informação de sessão
- Se as permissões do link de compartilhamento em nuvem são adequadas
- Se você conferiu o destino de uma URL encurtada
- Se a origem do compartilhamento não se liga a você ou à sua organização
URLs são alvo de verificação antes da publicação, assim como texto e imagens.
Ao verificar uma URL, primeiro veja a string de consulta depois de ?. Depois, procure strings que pareçam relacionadas à identificação, como utm_, ref, session, token, share e user. Porém, se você remover parâmetros necessários, a página pode deixar de abrir. Se não souber se pode remover algo, abra em outro ambiente para verificar.
Separar URLs de exemplo e URLs reais
Em artigos e explicações, às vezes são usadas strings de exemplo para mostrar a forma de uma URL. Por exemplo, example.com é um domínio frequentemente usado para explicações. Trate esse tipo de string como algo destinado a explicar a estrutura de uma URL, não como apresentação de um serviço real.
Por outro lado, ao apresentar ferramentas ou serviços reais, informe a URL oficial. É importante não confundir strings de exemplo com URLs oficiais que você quer que o leitor visite.
Resumo
URLs podem conter termos de busca, IDs de usuário, parâmetros de rastreamento, informações de sessão e IDs de compartilhamento.
Se você compartilhar um link como ele está, caminho de navegação, conteúdo pesquisado, conta, organização e origem do compartilhamento podem ficar visíveis.
URLs de busca, URLs enquanto você está logado, links de compartilhamento em nuvem e URLs encurtadas exigem cuidado especial.
Para proteger o anonimato, é necessário verificar a URL antes da publicação e remover parâmetros e informações identificadoras desnecessárias.
Ferramentas relacionadas
OSINT Framework
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.