Función de disparo de luz. Como el servicio de captura de pantalla más popular durante años, ha estado filtrando datos de usuarios a la red.
Lightshot genera direcciones URL públicas que son presa fácil para los estafadores.
Las personas, en la oscuridad, comparten su información confidencial en línea cuando usan la popular aplicación de captura de pantalla Lightshot. Las direcciones URL de docenas de capturas de pantalla tomadas con la aplicación se pueden encontrar fácilmente en línea, lo que las convierte en presa fácil para los ciberdelincuentes.
La aplicación Lightshot, propiedad de la firma de desarrollo de software Skillbrains, es popular entre millones de personas que reciben y envían docenas de capturas de pantalla todos los días. Al tomar una captura de pantalla, una persona puede cargar su imagen en el servidor de la empresa con una URL pública. Es posible guardar una captura de pantalla en su teléfono o compartirla en una red social.
La URL también es necesaria para que los usuarios puedan enviar sus capturas de pantalla a amigos, familiares o colegas. Lightshot ya ha subido más de dos mil millones de capturas de pantalla a la web. Sin embargo, el proceso de generación de las propias URL deja mucho que desear.
Todos los enlaces de captura de pantalla tienen un formato simple: " prnt.sc/" (servidor Lightshot) + un código alfanumérico de seis caracteres. Esto significa que cualquiera puede ingresar "prnt.sc/" y una combinación aleatoria de seis números y letras y tropezar con la captura de pantalla cargada por otro usuario. Tales situaciones han ocurrido repetidamente durante toda la existencia del programa en el mercado.
El primer lanzamiento de Lightshot tuvo lugar en 2014. Desde entonces, la aplicación se ha desarrollado activamente y estuvo disponible como extensiones para navegadores y una versión de escritorio para el sistema operativo. El programa es compatible con Mac y Windows, y también tiene complementos para Chrome y Firefox. Más de un millón de personas utilizan este complemento en Google Chrome y unas 40.000 en Firefox. En teléfonos Android, la aplicación se ha instalado desde Google Play más de 500.000 veces.
Si observa los resultados de 11,000 URL generadas aleatoriamente creadas por el sistema que usa Lightshot, puede encontrar fácilmente fotos privadas de sus usuarios. La mayoría de los enlaces no funcionan, por supuesto, porque las capturas de pantalla ya se han eliminado o ya no se pueden encontrar. Sin embargo, muchas URL pertenecen a capturas de pantalla que incluyen nombres, direcciones, números de contacto, datos bancarios e incluso partes íntimas del cuerpo de los usuarios de la aplicación.
El script automatizado encontró 529 imágenes visibles de 11 000 URL generadas. Alrededor del 63% de esas capturas de pantalla contenían información absolutamente inútil: clips de videojuegos, listas de deseos, instrucciones de codificación.
Alrededor del 20% de las imágenes analizadas incluían datos que podrían usarse para robar información personal o piratear otras cuentas. Las personas compartieron instantáneas de conversaciones, correos electrónicos y publicaciones en redes sociales con amigos utilizando nombres de usuario identificables.
El análisis mostró que el 8% de las capturas de pantalla contenían más información personal y privada. Entre ellas se encuentran fotos íntimas que se tomaron durante videollamadas; 6 capturas de pantalla de usuarios cuando eran niños y 30 imágenes que muestran claramente los nombres, los datos de registro y bancarios, los números de teléfono, las direcciones IP y las direcciones de entrega de las personas.
“Dar acceso público a datos confidenciales de los usuarios es inaceptable. Esto sucede porque las plataformas digitales ahorran dinero al proteger la información personal de sus clientes".
Según Bhagya Wimalasiri, investigador de seguridad de sistemas avanzados de la Universidad de Sheffield, tales plataformas se basan en modelos que monetizan la ” idea de inseguridad ” en sí misma. Sin pensar en la seguridad del usuario, este tipo de aplicaciones amplían su funcionalidad para atraer a más clientes. Uno de estos "chips" son las capturas de pantalla con acceso público.
Skillbrains, propietaria de Lightshot, aún no ha comentado. Sin embargo, los términos de uso de la aplicación señalan que todas las imágenes cargadas no son privadas. “La captura de pantalla estará disponible para cualquiera que ingrese su URL exacta. Ninguna imagen cargada en nuestro sitio puede ser privada”, dice la política de seguridad del programa. "Nuestro sitio está diseñado para compartir fotos, no para protegerlas de amenazas externas".
El hecho de que cualquiera pueda encontrar fotos confidenciales en el sitio web de Lightshot no es un gran secreto. Mediante una práctica como el web scraping, una persona puede obtener alrededor de 13.000 enlaces a capturas de pantalla disponibles públicamente. Además, existen programas especiales que ayudarán a analizar las imágenes recibidas en busca de datos personales y fotos íntimas.
Los términos de uso de Lightshot también establecen que los usuarios tienen prohibido subir fotos que contengan contenido para adultos o representen una violación de la ley. Sin embargo, no todo el mundo sigue estas reglas. También vale la pena señalar que ni la aplicación Lightshot en sí ni la página de inicio de su sitio web establecen claramente que todas las URL de captura de pantalla son públicas.
Tal descuido permite a los delincuentes llevar a cabo muchos ataques diferentes. Con la información correcta, pueden robar sus credenciales, retirar dinero de su tarjeta o realizar phishing banal.
Los clientes y la propia empresa son corresponsables de evitar la divulgación de información personal. Las personas deben saber que sus fotos se vuelven públicas inmediatamente después de subirlas. También deberían ser un poco más cuidadosos con las capturas de pantalla que suben al sitio.
Basado en Wired Reino Unido.