Lightshot генерирует общедоступные URL-адреса, которые являются легкой добычей для мошенников.
Люди, находясь в неведении, сами делятся своей конфиденциальной информацией в сети, когда используют популярное приложение для создания скриншотов Lightshot. URL-адреса десятков снимков экрана, сделанных с помощью приложения, можно запросто найти в Интернете, что делает их легкой добычей для киберпреступников.
Приложение Lightshot, принадлежащее фирме, занимающейся разработкой программного обеспечения Skillbrains, популярно среди миллионов людей, которые получают и отправляют десятки скриншотов каждый день. Сделав снимок экрана, человек может загрузить свое изображение на сервер компании с общедоступным URL-адресом. Есть возможность сохранить скриншот на телефон или поделиться им в социальной сети.
URL-адрес нужен также для того, чтобы пользователи могли отправлять свои скриншоты друзьям, семье или коллегам. С помощью Lightshot было загружено в сеть уже более двух миллиардов снимков экрана. Однако процесс того, как генерируются сами URL-адреса, оставляет желать лучшего.
Все ссылки на скриншоты имеет простой формат: «prnt.sc/» (сервер Lightshot) + шестизначный буквенно-цифровой код. Это означает, что любой желающий может ввести «prnt.sc/» и случайную комбинацию из шести цифр и букв и наткнуться на загруженный снимок экрана другого пользователя. Такие ситуации неоднократно случались за все время существования программы на рынке.
Первый релиз Lightshot состоялся в 2014 году. С тех пор приложение активно развивалось и стало доступным в качестве расширений для браузеров и десктопной версии для ОС. Программа совместима с Mac и Windows, а также имеет плагины для Chrome и Firefox. Более миллиона человек используют это дополнение в Google Chrome, и около 40 000 – в Firefox. На телефоны Android приложение было установлено из Google Play более 500 000 раз.
Если просмотреть результаты 11 000 случайно сгенерированных URL-адресов, созданных по системе, которую использует Lightshot, то можно с легкостью найти приватные фото ее пользователей. Большинство ссылок, конечно, не работают, потому что скриншоты уже были удалены или больше не могут быть найдены. Однако многие URL-адреса принадлежат снимкам экрана, на которых есть имена, адреса, контактные телефоны, банковские реквизиты и даже интимные части тела пользователей приложения.
Автоматический скрипт обнаружил 529 доступных для показа изображений из 11 000 сгенерированных URL-адресов. Около 63% из этих скриншотов содержали абсолютную бесполезную информацию: отрывки из видеоигр, списки желаний, инструкции по кодированию.
Около 20% проанализированных изображений включали в себя данные, которые могут быть использованы для кражи личной информации или взлома других аккаунтов. Люди делились с друзьями снимками переписок, электронных писем и постов в социальных сетях, используя идентифицируемые имена пользователей.
Анализ показал, что 8% скриншотов содержали более личную, приватную информацию. Среди них есть интимные фото, которые были сделаны во время видеозвонков; 6 скриншотов со снимками пользователей в детстве и 30 изображений, где четко видны имена, регистрационные и банковские данные, номера телефонов, IP-адреса и адреса доставки людей.
«Предоставление открытого доступа к конфиденциальным данным пользователей является недопустимым. Это происходит, потому что цифровые платформы экономят на защите личной информации своих клиентов»
По мнению Bhagya Wimalasiri, научного сотрудника в сфере безопасности передовых систем в Университете Шеффилд, такие платформы построены на моделях, которые монетизируют саму «идею незащищенности». Не думая о безопасности пользователя, подобные приложения расширяют свой функционал, чтобы привлечь больше клиентов. Одной из таких «фишек» и являются скриншоты с общедоступным доступом.
Компания Skillbrains, которая владеет Lightshot, пока не дает никаких комментариев. Однако в условиях использования приложения отмечается, что все загруженные изображения не являются частными. «Скриншот будет доступен любому пользователю, кто введет его точный URL-адрес. Ни одно изображение, загруженное на наш сайт, не может быть приватным», - говорится в политике безопасности программы. «Наш сайт предназначен для обмена фото, а не их защиты от внешних угроз».
Тот факт, что любой может найти конфиденциальные фото на сайте Lightshot, не является большим секретом. С помощью такой практики, как веб-скрейпинг, человек может получить около 13 000 ссылок на общедоступные скриншоты. Более того, есть специальные программы, которые помогут проанализировать полученные изображения на предмет личных данных и интимных фото.
В условиях использования программы Lightshot также указано, что пользователям запрещается загружать фото, на которых присутствует контент для взрослых или изображено нарушение закона. Однако не все соблюдают эти правила. Стоит также отметить, что ни в самом приложении Lightshot, ни на главной странице его веб-сайта четко не указано, что все URL-адреса скриншотов являются общедоступными.
Такая безалаберность дает возможность преступникам осуществить множество различных атак. Имея нужную информацию, они смогут украсть ваши учетные данные, снять деньги с карты или осуществить банальный фишинг.
Клиенты и сама компания вместе несут ответственность за предотвращение раскрытия личной информации. Люди должны быть осведомлены о том, что их фото становятся общедоступными сразу после загрузки. Им также стоит с немного большей осторожностью относиться к тем скриншотам, которые они загружают на сайт.
По материалам Wired UK.Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.
Join the conversation.