По данным исследователя в области информационной безопасности, компания, производящая фотобудки, публикует в интернете фотографии и видео своих клиентов из-за простой уязвимости на своем веб-сайте, где хранятся эти файлы.
Исследователь, известный под псевдонимом Zeacer, сообщил TechCrunch о проблеме безопасности в конце ноября, после того как в октябре сообщил об уязвимости компании Hama Film, производителю фотобудок, имеющему франчайзинговые представительства в Австралии, Объединенных Арабских Эмиратах и США, но ответа не получил.
Зисер поделился с TechCrunch образцом фотографий, взятых с серверов Hama Film, на которых изображены группы явно молодых людей, позирующих в фотобудках. Фотобудки Hama Film не только распечатывают фотографии, как обычные фотобудки, но и загружают фотографии клиентов на серверы компании.
Компания Vibecast, владеющая Hama Film, пока не ответила на его сообщения, в которых он уведомил компанию о проблемах. Vibecast также не ответила на несколько запросов о комментариях от TechCrunch, и соучредитель Vibecast Джоэл Парк не ответил на сообщение, которое мы отправили через LinkedIn.
По состоянию на пятницу исследователь заявил, что компания до сих пор полностью не устранила уязвимость в системе безопасности и продолжает раскрывать данные клиентов. В связи с этим TechCrunch не публикует конкретные подробности об уязвимости.
Когда Зисер впервые обнаружил эту уязвимость, он отметил, что, по всей видимости, фотографии удалялись с серверов производителя фотобудок каждые две-три недели.
Теперь, по его словам, фотографии, хранящиеся на серверах, удаляются через 24 часа, что ограничивает количество одновременно доступных изображений. Но хакер все еще может использовать обнаруженную им ежедневно уязвимость и загрузить содержимое каждой фотографии и видео с сервера.
По словам Зисера, до этой недели он однажды видел в интернете более 1000 фотографий стендов Hama Film в Мельбурне.
Этот инцидент — последний пример компании, которая, по крайней мере на некоторое время, не внедряла некоторые базовые и общепринятые методы обеспечения безопасности, такие как ограничение скорости запросов. В прошлом месяце TechCrunch сообщила, что гигант государственных контрактов Tyler Technologies не ограничивал скорость запросов на своих веб-сайтах, используемых судами для управления личной информацией присяжных. Это означало, что любой мог взломать профиль любого присяжного, запустив компьютерный скрипт, способный массово угадывать его дату рождения и легко угадываемый числовой идентификатор.
Источник: techcrunch.com
