- 22,821
- 46
- 8 Ноя 2022
Тысячи людей в Мельбурне, США и ОАЭ уже попали в эту «фотоловушку».
Компания Hama Film, устанавливающая фотобудки в разных странах, допустила утечку персональных данных своих клиентов. На серверах, где хранятся снимки и видеозаписи, сделанные в подобных «автоматических фотостудиях», обнаружена уязвимость, которая позволяла посторонним скачивать чужие фотографии . Проблема оставалась нерешённой даже после того, как на неё указал специалист по безопасности.
О небезопасном хранении данных сообщил исследователь, выступающий под псевдонимом Zeacer. Ещё в октябре он уведомил компанию Hama Film о найденной уязвимости , но не получил никакого ответа. Через месяц, не добившись реакции, он связался с журналистами TechCrunch и передал им пример материалов, полученных с серверов компании. На снимках были запечатлены сотни молодых людей, пользовавшиеся фотобудками Hama Film. Как выяснилось, устройства не только распечатывают снимки, но и автоматически загружают их в онлайн-хранилище.
Несмотря на то, что Hama Film принадлежит компании Vibecast, действующей в США, Австралии и ОАЭ, представители владельца также не вышли на связь. Ни на обращения Zeacer, ни на запросы TechCrunch не ответили ни сама Vibecast, ни её сооснователь Иоиль Пак.
По словам специалиста, к моменту публикации компания так и не устранила уязвимость полностью. Поэтому конкретные детали, как именно можно было получить доступ к личным данным клиентов, в интересах безопасности не раскрываются. Известно лишь, что поначалу загруженные фото хранились на сервере в течение двух-трёх недель. Сейчас срок хранения сократился до суток, что немного снижает объём доступных данных, но полностью проблему не решает. Уязвимость позволяет ежедневно загружать с сервера весь массив контента — снимки и видеозаписи.
В ноябре исследователь зафиксировал более тысячи фотографий, доступных онлайн с будок Hama Film в Мельбурне. Всё это время любой, кто знал об уязвимости, мог получить к ним доступ без авторизации и технических ограничений.
Случай с Hama Film — очередной пример того, как игнорирование элементарных мер защиты данных, вроде ограничения частоты запросов, приводит к утечкам. Похожая история произошла недавно с американским подрядчиком Tyler Technologies, чьи веб-сайты для работы с данными присяжных тоже не были защищены от массового перебора комбинаций для взлома личных профилей.
Компания Hama Film, устанавливающая фотобудки в разных странах, допустила утечку персональных данных своих клиентов. На серверах, где хранятся снимки и видеозаписи, сделанные в подобных «автоматических фотостудиях», обнаружена уязвимость, которая позволяла посторонним скачивать чужие фотографии . Проблема оставалась нерешённой даже после того, как на неё указал специалист по безопасности.
О небезопасном хранении данных сообщил исследователь, выступающий под псевдонимом Zeacer. Ещё в октябре он уведомил компанию Hama Film о найденной уязвимости , но не получил никакого ответа. Через месяц, не добившись реакции, он связался с журналистами TechCrunch и передал им пример материалов, полученных с серверов компании. На снимках были запечатлены сотни молодых людей, пользовавшиеся фотобудками Hama Film. Как выяснилось, устройства не только распечатывают снимки, но и автоматически загружают их в онлайн-хранилище.
Несмотря на то, что Hama Film принадлежит компании Vibecast, действующей в США, Австралии и ОАЭ, представители владельца также не вышли на связь. Ни на обращения Zeacer, ни на запросы TechCrunch не ответили ни сама Vibecast, ни её сооснователь Иоиль Пак.
По словам специалиста, к моменту публикации компания так и не устранила уязвимость полностью. Поэтому конкретные детали, как именно можно было получить доступ к личным данным клиентов, в интересах безопасности не раскрываются. Известно лишь, что поначалу загруженные фото хранились на сервере в течение двух-трёх недель. Сейчас срок хранения сократился до суток, что немного снижает объём доступных данных, но полностью проблему не решает. Уязвимость позволяет ежедневно загружать с сервера весь массив контента — снимки и видеозаписи.
В ноябре исследователь зафиксировал более тысячи фотографий, доступных онлайн с будок Hama Film в Мельбурне. Всё это время любой, кто знал об уязвимости, мог получить к ним доступ без авторизации и технических ограничений.
Случай с Hama Film — очередной пример того, как игнорирование элементарных мер защиты данных, вроде ограничения частоты запросов, приводит к утечкам. Похожая история произошла недавно с американским подрядчиком Tyler Technologies, чьи веб-сайты для работы с данными присяжных тоже не были защищены от массового перебора комбинаций для взлома личных профилей.
- Источник новости
- www.securitylab.ru
