نقص در وب‌سایت سازنده فوتوبوث، عکس‌های مشتریان را افشا می‌کند

یک شرکت سازنده فوتوبوث، عکس‌ها و ویدیوهای مشتریان خود را به دلیل یک نقص ساده در وب‌سایتش که فایل‌ها در آن ذخیره می‌شوند، به صورت آنلاین افشا می‌کند.

این محقق امنیتی که با نام Zeacer شناخته می‌شود، در اواخر نوامبر پس از گزارش این آسیب‌پذیری در ماه اکتبر به Hama Film، سازنده فوتوبوث که در استرالیا، امارات متحده عربی و ایالات متحده شعبه دارد، این موضوع را به TechCrunch اطلاع داد، اما پاسخی دریافت نکرد.

Zeacer نمونه‌ای از عکس‌های گرفته شده از سرورهای Hama Film را با TechCrunch به اشتراک گذاشت که در آن گروه‌هایی از افراد جوان که به وضوح در فوتوبوث‌ها ژست گرفته بودند، دیده می‌شدند. فوتوبوث‌های Hama Film نه تنها عکس‌ها را مانند یک فوتوبوث معمولی چاپ می‌کنند، بلکه عکس‌های مشتریان را به سرورهای شرکت آپلود می‌کنند.

Vibecast، مالک Hama Film، هنوز به پیام‌های او مبنی بر اطلاع‌رسانی به شرکت در مورد مشکلات پاسخی نداده است. Vibecast همچنین به چندین درخواست برای اظهار نظر از سوی TechCrunch پاسخی نداده است، و جوئل پارک، یکی از بنیان‌گذاران Vibecast نیز به پیامی که از طریق لینکدین برای او ارسال کردیم، پاسخ نداد.

این محقق گفت که تا روز جمعه، شرکت هنوز نقص امنیتی را به طور کامل برطرف نکرده و به افشای اطلاعات مشتریان ادامه می‌دهد. به همین دلیل، TechCrunch از انتشار جزئیات خاص این آسیب‌پذیری خودداری می‌کند.

هنگامی که Zeacer برای اولین بار این نقص را کشف کرد، متوجه شد که به نظر می‌رسد عکس‌ها هر دو تا سه هفته یکبار از سرورهای سازنده فوتوبوث حذف می‌شوند.

او گفت که اکنون، عکس‌های ذخیره شده در سرورها به نظر می‌رسد پس از ۲۴ ساعت حذف می‌شوند، که تعداد عکس‌های افشا شده در هر زمان را محدود می‌کند. اما یک هکر همچنان می‌تواند هر روز از این آسیب‌پذیری که او کشف کرده سوء استفاده کرده و محتویات هر عکس و ویدیوی موجود در سرور را دانلود کند.

Zeacer گفت که قبل از این هفته، در مقطعی بیش از ۱۰۰۰ عکس آنلاین از فوتوبوث‌های Hama Film در ملبورن مشاهده کرده بود.

این حادثه جدیدترین نمونه از شرکتی است که حداقل برای مدتی، برخی از شیوه‌های امنیتی اساسی و پذیرفته شده گسترده، مانند محدود کردن نرخ درخواست (rate-limiting) را اجرا نکرده است. ماه گذشته، TechCrunch گزارش داد که غول پیمانکار دولتی Tyler Technologies وب‌سایت‌های خود را که برای مدیریت اطلاعات شخصی هیئت منصفه توسط دادگاه‌ها استفاده می‌شود، محدود نکرده بود. این بدان معنا بود که هر کسی می‌توانست با اجرای یک اسکریپت کامپیوتری که قادر به حدس زدن انبوه تاریخ تولد و شناسه عددی قابل حدس آسان آن‌ها بود، وارد پروفایل هر یک از اعضای هیئت منصفه شود.