
Pasak saugumo tyrėjo, nuotraukų kabinas gaminanti įmonė internete skelbia savo klientų nuotraukas ir vaizdo įrašus dėl paprasto trūkumo jos svetainėje, kurioje saugomi failai.
Tyrėjas, dirbantis su Zeacer, įspėjo TechCrunch apie saugumo problemą lapkričio pabaigoje, kai spalio mėnesį pranešė apie pažeidžiamumą Hama Film, nuotraukų būdelių gamintojui, turinčiam franšizę Australijoje, Jungtiniuose Arabų Emyratuose ir Jungtinėse Valstijose, bet negavo.
Zeaceris su „TechCrunch“ pasidalijo nuotraukų, paimtų iš „Hama Film“ serverių, pavyzdžiu, kuriame buvo aiškiai matomos jaunų žmonių grupės, pozuojančios nuotraukų kabinose. „Hama Film“ kabinos ne tik spausdina nuotraukas kaip įprasta nuotraukų kabina, bet ir įkelia klientų nuotraukas į įmonės serverius.
„Vibecast“, kuriai priklauso „Hama Film“, dar neatsakė į jo žinutes, įspėjančias bendrovę apie problemas. „Vibecast“ taip pat neatsakė į kelis „TechCrunch“ prašymus pakomentuoti, taip pat „Vibecast“ įkūrėjas Joelis Parkas neatsakė į pranešimą, kurį išsiuntėme per „Linkedin“.
Penktadienį mokslininkas teigė, kad bendrovė vis dar iki galo neišsprendė saugos trūkumo ir toliau atskleidžia klientų duomenis. Todėl „TechCrunch“ neskelbia konkrečios informacijos apie pažeidžiamumą.
Kai Zeacer pirmą kartą aptiko šį trūkumą, jis pastebėjo, kad nuotraukos buvo ištrinamos iš nuotraukų kabinos gamintojo serverių kas dvi ar tris savaites.
Dabar, pasak jo, serveriuose saugomos nuotraukos ištrinamos po 24 valandų, o tai riboja bet kuriuo metu eksponuojamų nuotraukų skaičių. Tačiau įsilaužėlis vis tiek gali išnaudoti kiekvieną dieną aptiktą pažeidžiamumą ir atsisiųsti kiekvienos nuotraukos ir vaizdo įrašo turinį serveryje.
Techcrunch renginys
San Franciskas
|
2026 m. spalio 13-15 d
Prieš šią savaitę Zeaceris sakė, kad vienu metu internete matė daugiau nei 1000 nuotraukų, skirtų „Hama Film“ stendams Melburne.
Šis incidentas yra naujausias pavyzdys, kai įmonė bent jau kurį laiką neįgyvendino tam tikros pagrindinės ir plačiai priimtos saugumo praktikos, pavyzdžiui, tarifų ribojimo. Praėjusį mėnesį „TechCrunch“ pranešė, kad vyriausybės rangovas „Tyler Technologies“ neribojo savo svetainių, naudojamų teismams leisti tvarkyti prisiekusiųjų asmeninę informaciją, tarifų. Tai reiškė, kad kiekvienas galėjo įsilaužti į bet kurio prisiekusiojo profilį paleisdamas kompiuterinį scenarijų, galintį masiškai atspėti jų gimimo datą ir lengvai atspėjamą skaitmeninį identifikatorių.




