Исследователь, известный как Zeacer, сообщил TechCrunch о проблеме безопасности в конце ноября после того, как уведомил о уязвимости Hama Film — производителя фотобудок, имеющего франшизы в Австралии, Объединенных Арабских Эмиратах и Соединенных Штатах, но не получил ответа.
Zeacer поделился с TechCrunch образцами фотографий, полученных с серверов Hama Film, на которых были изображены группы явно молодых людей, позирующих в фотобудках. Будки Hama Film не только печатают фотографии, как обычные фотобудки, но и загружают снимки клиентов на серверы компании.
Vibecast, владеющая Hama Film, пока не ответила на сообщения исследователя, уведомляющие компанию о проблемах. Vibecast также не отреагировала на несколько запросов о комментарии от TechCrunch, как и соучредитель Vibecast Джоэл Парк не ответил на сообщение, отправленное нами через LinkedIn.
По состоянию на пятницу, исследователь сообщил, что компания до сих пор не полностью устранила уязвимость безопасности и продолжает раскрывать данные клиентов. В связи с этим TechCrunch воздерживается от публикации конкретных деталей уязвимости. В связи с этим TechCrunch воздерживается от публикации конкретных деталей уязвимости.
Когда Zeacer впервые обнаружил этот недостаток, он отметил, что фотографии удалялись с серверов производителя фотобудок каждые две-три недели.
Теперь, по его словам, фотографии, хранящиеся на серверах, удаляются через 24 часа, что ограничивает количество одновременно раскрываемых снимков. Однако хакер по-прежнему может ежедневно использовать обнаруженную им уязвимость и загружать содержимое всех фотографий и видео на сервере.
До этой недели Zeacer сообщил, что однажды он видел более 1000 фотографий в сети из фотобудок Hama Film в Мельбурне.
Этот инцидент является последним примером компании, которая, по крайней мере, некоторое время не применяла определенные базовые и общепринятые практики безопасности, такие как ограничение скорости запросов. В прошлом месяце TechCrunch сообщил, что гигантский государственный подрядчик Tyler Technologies не ограничивал скорость доступа к своим веб-сайтам, используемым для управления личной информацией присяжных судами. Это означало, что любой мог получить доступ к профилю любого присяжного, запустив компьютерный скрипт, способный массово угадывать дату рождения и легко угадываемый числовой идентификатор.
Автор – Lorenzo Franceschi-Bicchierai
