Lightshot-ominaisuus. Suosituimpana kuvakaappauspalveluna jo vuosia, se on vuotanut käyttäjätietoja verkkoon.

Viimeisin päivitys joulu 4, 2022

Lightshot luo julkisia URL-osoitteita, jotka ovat helppo saalis huijareille.

Pimeässä ihmiset jakavat itse arkaluonteisia tietojaan verkossa, kun he käyttävät suosittua Lightshot-kuvakaappaussovellusta. Kymmenien sovelluksella otettujen kuvakaappausten URL-osoitteet löytyvät helposti verkosta, mikä tekee niistä helpon saaliin kyberrikollisille.

Lightshot – sovellus, jonka omistaa ohjelmistokehitysyritys Skillbrains, on suosittu miljoonien ihmisten keskuudessa, jotka vastaanottavat ja lähettävät kymmeniä kuvakaappauksia päivittäin. Ottamalla kuvakaappauksen henkilö voi ladata kuvan yrityksen palvelimelle julkisella URL-osoitteella. On mahdollista tallentaa kuvakaappaus puhelimeesi tai jakaa se sosiaalisessa mediassa.

URL-osoitetta tarvitaan myös, jotta käyttäjät voivat lähettää kuvakaappauksensa ystäville, perheelle tai kollegoille. Lightshot on jo ladannut verkkoon yli kaksi miljardia kuvakaappausta. Itse URL-osoitteiden luontiprosessi jättää kuitenkin paljon toivomisen varaa.

Kaikki kuvakaappauslinkit ovat yksinkertaisessa muodossa: " prnt.sc/" (Lightshot-palvelin) + kuusimerkkinen aakkosnumeerinen koodi. Tämä tarkoittaa, että kuka tahansa voi kirjoittaa "prnt.sc/" ja kuuden numeron ja kirjaimen satunnaisen yhdistelmän ja törmätä toisen käyttäjän lataamaan kuvakaappaukseen. Tällaisia tilanteita on esiintynyt toistuvasti koko ohjelman olemassaolon aikana markkinoilla.

Lightshotin ensimmäinen julkaisu julkaistiin vuonna 2014. Siitä lähtien sovellusta on kehitetty aktiivisesti ja se on tullut saataville laajennuksina selaimille ja työpöytäversiona käyttöjärjestelmälle. Ohjelma on yhteensopiva Macin ja Windowsin kanssa, ja siinä on myös laajennuksia Chromelle ja Firefoxille. Yli miljoona ihmistä käyttää tätä lisäosaa Google Chromessa ja noin 40 000 Firefoxissa. Android-puhelimiin sovellus on asennettu Google Playsta yli 500 000 kertaa.

Jos tarkastelet Lightshotin käyttämän järjestelmän luoman 11 000 satunnaisesti luodun URL-osoitteen tuloksia, voit helposti löytää yksityisiä kuvia sen käyttäjistä. Suurin osa linkeistä ei tietenkään toimi, koska kuvakaappaukset on jo poistettu tai niitä ei enää löydy. Monet URL-osoitteet kuuluvat kuitenkin kuvakaappauksiin, jotka sisältävät nimiä, osoitteita, yhteystietoja, pankkitietoja ja jopa intiimejä osia sovelluksen käyttäjien kehosta.

Automaattinen komentosarja löysi 529 näytettävää kuvaa 11 000 luodusta URL-osoitteesta. Noin 63 % näistä kuvakaappauksista sisälsi täysin hyödytöntä tietoa: leikkeitä videopeleistä, toivelistoja, koodausohjeita.

Noin 20 % analysoiduista kuvista sisälsi tietoja, joita voitiin käyttää henkilökohtaisten tietojen varastamiseen tai muille tileille murtautumiseen. Ihmiset jakoivat otoksia keskusteluista, sähköposteista ja sosiaalisen median viesteistä ystävien kanssa käyttämällä tunnistettavia käyttäjänimiä.

Analyysi osoitti, että 8 % kuvakaappauksista sisälsi enemmän henkilökohtaisia, yksityisiä tietoja. Niiden joukossa on intiimejä kuvia, jotka on otettu videopuheluiden aikana; 6 kuvakaappausta käyttäjistä lapsina ja 30 kuvaa, joissa näkyvät selvästi ihmisten nimet, rekisteröinti- ja pankkitiedot, puhelinnumerot, IP-osoitteet ja toimitusosoitteet.

"Yleisen pääsyn antaminen arkaluonteisiin käyttäjätietoihin ei ole hyväksyttävää. Tämä tapahtuu, koska digitaaliset alustat säästävät rahaa asiakkaidensa henkilökohtaisten tietojen suojaamisessa."

Sheffieldin yliopiston edistyneen järjestelmien turvatutkijan Bhagya Wimalasirin mukaan tällaiset alustat on rakennettu malleille, jotka rahallistavat " turvattomuuden idean ". Ajattelematta käyttäjän turvallisuutta, tällaiset sovellukset laajentavat toimintojaan houkutellakseen lisää asiakkaita. Yksi näistä "siruista" on kuvakaappauksia, joihin on julkinen pääsy.

Lightshotin omistava Skillbrains ei ole vielä kommentoinut. Sovelluksen käyttöehdoissa todetaan kuitenkin, että kaikki ladatut kuvat eivät ole yksityisiä. "Kuvakaappaus on kaikkien saatavilla, jotka syöttävät sen tarkan URL-osoitteen. Mikään sivustollemme ladattu kuva ei voi olla yksityinen", ohjelman tietoturvakäytäntö sanoo. "Sivustomme on suunniteltu jakamaan valokuvia, ei suojaamaan niitä ulkoisilta uhilta."

Se, että kuka tahansa voi löytää arkaluonteisia valokuvia Lightshot-verkkosivustolta, ei ole suuri salaisuus. Käytännön, kuten verkkokaappauksen, avulla henkilö voi saada noin 13 000 linkkiä julkisesti saatavilla oleviin kuvakaappauksiin. Lisäksi on olemassa erityisiä ohjelmia, jotka auttavat analysoimaan vastaanotettuja kuvia henkilökohtaisten tietojen ja intiimien valokuvien saamiseksi.

Lightshotin käyttöehdoissa todetaan myös, että käyttäjät eivät saa ladata kuvia, jotka sisältävät vain aikuisille suunnattua sisältöä tai joissa kuvataan lain vastaista sisältöä. Kaikki eivät kuitenkaan noudata näitä sääntöjä. On myös syytä huomata, että itse Lightshot-sovellus tai sen verkkosivuston kotisivu eivät selvästi kerro, että kaikki kuvakaappauksen URL-osoitteet ovat julkisia.

Tällainen huolimattomuus antaa rikollisille mahdollisuuden suorittaa monia erilaisia hyökkäyksiä. Oikeilla tiedoilla he voivat varastaa kirjautumistietosi, nostaa rahaa kortiltasi tai suorittaa banaalia tietojenkalastelua.

Asiakkaat ja yritys itse ovat yhteisvastuussa henkilötietojen luovuttamisen estämisestä. Ihmisten tulee olla tietoisia siitä, että heidän valokuvansa tulevat julkisiksi heti lataamisen jälkeen. Heidän tulisi myös olla hieman varovaisempi sivustolle lataamiensa kuvakaappausten suhteen.

Perustuu Wired UK : aan.