Funzione colpo di luce. Essendo il servizio di screenshot più popolare da anni, ha fatto trapelare i dati degli utenti sulla rete.
Lightshot genera URL pubblici che sono facili prede per i truffatori.
Le persone, al buio, condividono le loro informazioni sensibili online quando usano la popolare app per screenshot di Lightshot. Gli URL di dozzine di screenshot acquisiti con l’app possono essere facilmente trovati online, rendendoli una facile preda per i criminali informatici.
L’ app Lightshot, di proprietà della società di sviluppo software Skillbrains, è apprezzata da milioni di persone che ricevono e inviano dozzine di screenshot ogni giorno. Facendo uno screenshot, una persona può caricare la propria immagine sul server dell’azienda con un URL pubblico. È possibile salvare uno screenshot sul telefono o condividerlo su un social network.
L’URL è necessario anche per consentire agli utenti di inviare i propri screenshot ad amici, familiari o colleghi. Lightshot ha già caricato sul web oltre due miliardi di screenshot. Tuttavia, il processo di generazione degli URL stessi lascia molto a desiderare.
Tutti i collegamenti agli screenshot hanno un formato semplice: " prnt.sc/" (server Lightshot) + un codice alfanumerico di sei caratteri. Ciò significa che chiunque può inserire "prnt.sc/" e una combinazione casuale di sei numeri e lettere e imbattersi nello screenshot caricato da un altro utente. Tali situazioni si sono ripetutamente verificate durante l’intera esistenza del programma sul mercato.
La prima versione di Lightshot è avvenuta nel 2014. Da allora, l’applicazione è stata sviluppata attivamente ed è diventata disponibile come estensioni per i browser e una versione desktop per il sistema operativo. Il programma è compatibile con Mac e Windows e dispone anche di plug-in per Chrome e Firefox. Oltre un milione di persone utilizzano questo componente aggiuntivo su Google Chrome e circa 40.000 su Firefox. Sui telefoni Android, l’app è stata installata da Google Play oltre 500.000 volte.
Se guardi i risultati di 11.000 URL generati casualmente creati dal sistema utilizzato da Lightshot, puoi trovare facilmente le foto private dei suoi utenti. La maggior parte dei collegamenti non funziona, ovviamente, perché gli screenshot sono già stati rimossi o non possono più essere trovati. Tuttavia, molti URL appartengono a screenshot che includono nomi, indirizzi, numeri di contatto, coordinate bancarie e persino parti intime del corpo degli utenti dell’app.
Lo script automatico ha trovato 529 immagini visualizzabili su 11.000 URL generati. Circa il 63% di quegli screenshot conteneva informazioni assolutamente inutili: clip di videogiochi, liste dei desideri, istruzioni di codifica.
Circa il 20% delle immagini analizzate includeva dati che potevano essere utilizzati per rubare informazioni personali o hackerare altri account. Le persone hanno condiviso istantanee di conversazioni, e-mail e post sui social media con gli amici utilizzando nomi utente identificabili.
L’analisi ha mostrato che l’8% degli screenshot conteneva più informazioni personali e private. Tra questi ci sono foto intime scattate durante le videochiamate; 6 screenshot di utenti da bambini e 30 immagini che mostrano chiaramente i nomi, la registrazione e le coordinate bancarie, i numeri di telefono, gli indirizzi IP e gli indirizzi di consegna delle persone.
“Concedere l’accesso pubblico ai dati sensibili degli utenti è inaccettabile. Questo accade perché le piattaforme digitali risparmiano sulla protezione delle informazioni personali dei propri clienti".
Secondo Bhagya Wimalasiri, ricercatore di sicurezza dei sistemi avanzati presso l’Università di Sheffield, tali piattaforme sono costruite su modelli che monetizzano "l’ idea di insicurezza " stessa. Senza pensare alla sicurezza dell’utente, tali applicazioni espandono le loro funzionalità per attirare più clienti. Uno di questi "chip" sono screenshot con accesso pubblico.
Skillbrains, che possiede Lightshot, deve ancora commentare. Tuttavia, i termini di utilizzo dell’app indicano che tutte le immagini caricate non sono private. “Lo screenshot sarà disponibile a chiunque inserisca il suo URL esatto. Nessuna immagine caricata sul nostro sito può essere privata", afferma la politica di sicurezza del programma. "Il nostro sito è progettato per condividere foto, non per proteggerle da minacce esterne."
Il fatto che chiunque possa trovare foto sensibili sul sito web di Lightshot non è un grande segreto. Attraverso una pratica come il web scraping, una persona può ottenere circa 13.000 collegamenti a schermate disponibili pubblicamente. Inoltre, esistono programmi speciali che aiuteranno ad analizzare le immagini ricevute per dati personali e foto intime.
I termini di utilizzo di Lightshot stabiliscono inoltre che agli utenti è vietato caricare foto che contengano contenuti per adulti o rappresentino una violazione della legge. Tuttavia, non tutti seguono queste regole. Vale anche la pena notare che né l’app Lightshot stessa né la home page del suo sito Web affermano chiaramente che tutti gli URL degli screenshot sono pubblici.
Tale disattenzione consente ai criminali di eseguire molti attacchi diversi. Con le informazioni giuste, possono rubare le tue credenziali, prelevare denaro dalla tua carta o effettuare banali phishing.
I clienti e l’azienda stessa sono corresponsabili per impedire la divulgazione di informazioni personali. Le persone dovrebbero essere consapevoli che le loro foto diventano pubbliche subito dopo il caricamento. Dovrebbero anche stare un po’ più attenti agli screenshot che caricano sul sito.
Basato su Wired UK.