امنیت

نقص امنیتی در وب‌سایت سازنده غرفه عکس باعث افشای تصاویر مشتریان شد

2 روز پیش
2 روز پیش
0 نظر

یک شرکت سازنده دستگاه‌های فتو بوت، به دلیل نقص ساده‌ای در وب‌سایتش که محل ذخیره‌سازی فایل‌هاست، تصاویر و ویدئوهای مشتریان خود را به صورت آنلاین در معرض دید قرار داده است. این موضوع را یک پژوهشگر امنیتی گزارش کرده است.

این پژوهشگر که با نام Zeacer فعالیت می‌کند، در اواخر آبان موضوع امنیتی را به “خبرنگار” اطلاع داد. او پیش از آن، در مهر ماه این آسیب‌پذیری را به Hama Film، شرکت تولیدکننده دستگاه‌های فتو بوت که در استرالیا، امارات و ایالات متحده نمایندگی دارد، گزارش کرده بود اما پاسخی دریافت نکرد.

Zeacer نمونه‌ای از تصاویر گرفته‌شده از سرورهای Hama Film را با “خبرنگار” به اشتراک گذاشته است که در آن گروهی از جوانان به‌وضوح درون دستگاه‌های فتو بوت عکس گرفته‌اند. دستگاه‌های Hama Film علاوه بر چاپ عکس‌ها مانند سایر دستگاه‌های مشابه، تصاویر مشتریان را نیز روی سرورهای شرکت بارگزاری می‌کنند.

شرکت Vibecast، مالک Hama Film، هنوز به پیام‌های Zeacer درباره این مشکل امنیتی واکنشی نشان نداده است. Vibecast همچنین به درخواست‌های متعدد خبرنگار برای توضیح در این خصوص پاسخ نداده و یکی از بنیان‌گذاران این شرکت به نام Joel Park نیز به پیامی که از طریق لینکدین برایش ارسال شد واکنشی نشان نداده است.

تا روز جمعه (۲۲ خرداد ۱۴۰۴)، پژوهشگر اعلام کرده که این شرکت هنوز نقص امنیتی را به طور کامل رفع نکرده و اطلاعات مشتریان همچنان در معرض دید قرار دارد. بر همین اساس، خبرنگار فعلاً جزئیات دقیق این آسیب‌پذیری را منتشر نمی‌کند.

زمانی که Zeacer برای اولین بار متوجه این نقص شد، اعلام کرد که به نظر می‌رسد تصاویر هر دو تا سه هفته از سرورهای شرکت حذف می‌شوند.

اکنون او می‌گوید، تصاویر ذخیره‌شده روی سرورها بعد از ۲۴ ساعت حذف می‌شوند که این موضوع تعداد تصاویر در معرض خطر را در هر لحظه محدود می‌کند. با این حال، یک هکر همچنان می‌تواند از آسیب‌پذیری کشف‌شده سوءاستفاده کرده و هر روز تمام تصاویر و ویدئوهای موجود روی سرور را دریافت کند.

قبل از این هفته، Zeacer اعلام کرد که در یک بازه زمانی بیش از ۱۰۰۰ عکس آنلاین مربوط به دستگاه‌های Hama Film در شهر ملبورن را مشاهده کرده است.

این اتفاق نمونه دیگری از شرکت‌هایی است که دست‌کم برای مدتی، برخی از اقدامات بنیادی و پذیرفته‌شده امنیتی مانند محدودسازی دفعات درخواست (rate-limiting) را اجرا نکرده‌اند. ماه گذشته، خبرنگار گزارش داد که شرکت پیمانکار دولتی Tyler Technologies هم محدودسازی دفعات درخواست را در وب‌سایت‌های خود که برای مدیریت اطلاعات شخصی اعضای هیئت منصفه دادگاه‌ها استفاده می‌شود، لحاظ نکرده بود. این موضوع باعث شده بود که هر فردی بتواند با اجرای یک اسکریپت کامپیوتری که قادر به حدس زدن پی‌در‌پی تاریخ تولد و شناسه‌ عددی ساده اعضا بود، به پرونده هر یک از اعضا نفوذ کند.

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *