Lightshot funktsioon. Aastaid populaarseima ekraanipiltide teenusena on see kasutajaandmeid võrku lekitanud.
Lightshot genereerib avalikke URL-e, mis on petturitele kerge saak.
Inimesed jagavad pimedas ise oma tundlikku teavet veebis, kui nad kasutavad populaarset Lightshot ekraanipiltide rakendust. Kümnete rakendusega tehtud ekraanipiltide URL-id on veebist hõlpsasti leitavad, muutes need küberkurjategijate jaoks lihtsaks saagiks.
Rakendus Lightshot, mis kuulub tarkvaraarendusfirmale Skillbrains, on populaarne miljonite inimeste seas, kes saavad ja saadavad iga päev kümneid ekraanipilte. Ekraanipilti tehes saab inimene oma pildi avaliku URL-iga ettevõtte serverisse üles laadida. Võimalik on salvestada ekraanipilt oma telefoni või jagada seda sotsiaalvõrgustikus.
URL on vajalik ka selleks, et kasutajad saaksid saata oma ekraanipilte sõpradele, perele või kolleegidele. Lightshot on juba veebi üles laadinud üle kahe miljardi ekraanipildi. Siiski jätab soovida protsess, kuidas URL-id ise luuakse.
Kõik ekraanipildi lingid on lihtsas vormingus: " prnt.sc/" (Lightshot server) + kuuekohaline tähtnumbriline kood. See tähendab, et igaüks võib sisestada "prnt.sc/" ja kuue numbri ja tähe juhusliku kombinatsiooni ning komistada teise kasutaja üleslaaditud ekraanipildi otsa. Selliseid olukordi on kogu programmi turul eksisteerimise jooksul korduvalt ette tulnud .
Lightshoti esimene väljalase toimus 2014. aastal. Sellest ajast alates on rakendust aktiivselt arendatud ja see sai kättesaadavaks brauseritele mõeldud laiendustena ja OS-i töölauaversioonina. Programm ühildub Maci ja Windowsiga ning sellel on ka Chrome’i ja Firefoxi pistikprogrammid. Rohkem kui miljon inimest kasutab seda lisandmoodulit Google Chrome’is ja umbes 40 000 inimest Firefoxis. Android-telefonidele on rakendust Google Playst installitud üle 500 000 korra.
Kui vaatate Lightshoti kasutatava süsteemi loodud 11 000 juhuslikult genereeritud URL-i tulemusi, leiate hõlpsalt selle kasutajate privaatseid fotosid. Enamik linke muidugi ei tööta, sest ekraanipildid on juba eemaldatud või neid ei leia enam. Paljud URL-id kuuluvad aga ekraanipiltidele, mis sisaldavad nimesid, aadresse, kontaktnumbreid, pangaandmeid ja isegi rakenduse kasutajate intiimseid osi.
Automatiseeritud skript leidis 11 000 loodud URL-ist 529 kuvatavat pilti. Umbes 63% neist ekraanipiltidest sisaldas täiesti kasutut teavet: klippe videomängudest, soovide loendeid, kodeerimisjuhiseid.
Umbes 20% analüüsitud piltidest sisaldas andmeid, mida võis kasutada isikliku teabe varandamiseks või teistele kontodele sissemurdmiseks. Inimesed jagasid tuvastatavaid kasutajanimesid kasutades sõpradega vestluste, meilide ja sotsiaalmeedia postituste hetktõmmiseid.
Analüüs näitas, et 8% ekraanipiltidest sisaldas rohkem isiklikku privaatset teavet. Nende hulgas on intiimseid fotosid, mis on tehtud videokõnede ajal; 6 ekraanipilti kasutajatest lapsepõlves ja 30 pilti, millel on selgelt näha inimeste nimed, registreerimis- ja pangaandmed, telefoninumbrid, IP-aadressid ja tarneaadressid.
„Avaliku juurdepääsu andmine tundlikele kasutajaandmetele on vastuvõetamatu. See juhtub seetõttu, et digitaalsed platvormid säästavad raha oma klientide isikuandmete kaitsmisel.
Sheffieldi ülikooli täiustatud süsteemide turvateadlase Bhagya Wimalasiri sõnul on sellised platvormid üles ehitatud mudelitele, mis rahastavad " ebaturvalisuse ideed ". Kasutaja ohutusele mõtlemata laiendavad sellised rakendused oma funktsionaalsust, et meelitada rohkem kliente. Üks neist "kiipidest" on avaliku juurdepääsuga ekraanipildid.
Skillbrains, kellele Lightshot kuulub, pole veel kommenteerinud. Rakenduse kasutustingimustes märgitakse aga, et kõik üleslaaditud pildid ei ole privaatsed. "Ekraanipilt on saadaval kõigile, kes sisestavad selle täpse URL-i. Ükski meie saidile üles laaditud pilt ei saa olla privaatne," öeldakse programmi turvapoliitikas. "Meie sait on loodud fotode jagamiseks, mitte nende kaitsmiseks väliste ohtude eest."
See, et Lightshoti veebisaidilt võib tundlikke fotosid leida igaüks, pole suur saladus. Sellise praktika kaudu nagu veebikraapimine võib inimene saada umbes 13 000 linki avalikult saadaolevatele ekraanipiltidele. Lisaks on olemas spetsiaalsed programmid, mis aitavad saadud pilte isikuandmete ja intiimsete fotode jaoks analüüsida.
Lightshoti kasutustingimustes on ka kirjas, et kasutajatel on keelatud üles laadida fotosid, mis sisaldavad täiskasvanutele mõeldud sisu või kujutavad seaduserikkumist. Kuid mitte kõik ei järgi neid reegleid. Samuti väärib märkimist, et ei Lightshoti rakendus ise ega selle veebisaidi avaleht ei ütle selgelt, et kõik ekraanipiltide URL-id on avalikud.
Selline hoolimatus võimaldab kurjategijatel sooritada palju erinevaid rünnakuid. Õige teabe abil saavad nad varastada teie volikirjad, võtta teie kaardilt raha välja või sooritada banaalset andmepüügi.
Kliendid ja ettevõte ise vastutavad ühiselt isikuandmete avalikustamise takistamise eest. Inimesed peaksid teadma, et nende fotod muutuvad avalikuks kohe pärast üleslaadimist. Samuti peaksid nad olema saidile üleslaaditavate ekraanipiltide suhtes pisut ettevaatlikumad.
Põhineb Wired UK -l .