Lightshot-Funktion. Als beliebtester Screenshot-Dienst seit Jahren leckt er Benutzerdaten an das Netzwerk.

Last updated 4. Dezember 2022

Lightshot generiert öffentliche URLs, die für Betrüger leichte Beute sind.

Menschen teilen im Dunkeln selbst ihre sensiblen Informationen online, wenn sie die beliebte Lightshot-Screenshot-App verwenden. Die URLs von Dutzenden von Screenshots, die mit der App aufgenommen wurden, können leicht online gefunden werden, was sie zu einer leichten Beute für Cyberkriminelle macht.

Die Lightshot-App, die der Softwareentwicklungsfirma Skillbrains gehört, ist bei Millionen von Menschen beliebt, die jeden Tag Dutzende von Screenshots erhalten und versenden. Durch das Aufnehmen eines Screenshots kann eine Person ihr Bild mit einer öffentlichen URL auf den Server des Unternehmens hochladen. Es ist möglich, einen Screenshot auf Ihrem Telefon zu speichern oder ihn in einem sozialen Netzwerk zu teilen.

Die URL wird auch benötigt, damit Benutzer ihre Screenshots an Freunde, Familie oder Kollegen senden können. Lightshot hat bereits über zwei Milliarden Screenshots ins Internet hochgeladen. Der Prozess, wie die URLs selbst generiert werden, lässt jedoch zu wünschen übrig.

Alle Screenshot-Links haben ein einfaches Format: „ prnt.sc/” (Lightshot-Server) + ein sechsstelliger alphanumerischer Code. Das bedeutet, dass jeder „prnt.sc/” und eine zufällige Kombination aus sechs Zahlen und Buchstaben eingeben und auf den hochgeladenen Screenshot eines anderen Benutzers stoßen kann. Solche Situationen sind während der gesamten Existenz des Programms auf dem Markt immer wieder vorgekommen .

Die erste Veröffentlichung von Lightshot fand 2014 statt. Seitdem wurde die Anwendung aktiv weiterentwickelt und wurde als Erweiterung für Browser und als Desktop-Version für das Betriebssystem verfügbar. Das Programm ist mit Mac und Windows kompatibel und verfügt auch über Plugins für Chrome und Firefox. Über eine Million Menschen verwenden dieses Add-on auf Google Chrome und etwa 40.000 auf Firefox. Auf Android-Telefonen wurde die App über 500.000 Mal von Google Play installiert.

Wenn Sie sich die Ergebnisse von 11.000 zufällig generierten URLs ansehen, die von dem von Lightshot verwendeten System erstellt wurden, können Sie leicht private Fotos seiner Benutzer finden. Die meisten Links funktionieren natürlich nicht, weil die Screenshots bereits entfernt wurden oder nicht mehr auffindbar sind. Viele URLs gehören jedoch zu Screenshots, die Namen, Adressen, Telefonnummern, Bankdaten und sogar intime Körperteile von App-Benutzern enthalten.

Das automatisierte Skript fand 529 anzeigbare Bilder aus 11.000 generierten URLs. Etwa 63 % dieser Screenshots enthielten absolut nutzlose Informationen: Clips aus Videospielen, Wunschlisten, Programmieranleitungen.

Etwa 20 % der analysierten Bilder enthielten Daten, die dazu verwendet werden konnten, persönliche Informationen zu stehlen oder sich in andere Konten einzuhacken. Personen teilten Schnappschüsse von Gesprächen, E-Mails und Social-Media-Beiträgen mit Freunden unter Verwendung identifizierbarer Benutzernamen.

Die Analyse ergab, dass 8 % der Screenshots mehr persönliche, private Informationen enthielten. Darunter sind intime Fotos, die bei Videoanrufen aufgenommen wurden; 6 Screenshots von Benutzern als Kinder und 30 Bilder, die deutlich die Namen, Registrierungs- und Bankdaten, Telefonnummern, IP-Adressen und Lieferadressen von Personen zeigen.

„Es ist inakzeptabel, der Öffentlichkeit Zugang zu sensiblen Benutzerdaten zu gewähren. Dies geschieht, weil digitale Plattformen beim Schutz der persönlichen Daten ihrer Kunden Geld sparen.”

Laut Bhagya Wimalasiri, einem Forscher für fortgeschrittene Systemsicherheit an der University of Sheffield, basieren solche Plattformen auf Modellen, die die „ Idee der Unsicherheit ” selbst zu Geld machen. Ohne an die Sicherheit des Benutzers zu denken, erweitern solche Anwendungen ihre Funktionalität, um mehr Kunden zu gewinnen. Einer dieser "Chips" sind öffentlich zugängliche Screenshots.

Skillbrains, dem Lightshot gehört, hat sich noch nicht geäußert. Die Nutzungsbedingungen der App weisen jedoch darauf hin, dass alle hochgeladenen Bilder nicht privat sind. „Der Screenshot ist für jeden verfügbar, der seine genaue URL eingibt. Kein Bild, das auf unsere Seite hochgeladen wird, darf privat sein”, heißt es in der Sicherheitsrichtlinie des Programms. "Unsere Website ist darauf ausgelegt, Fotos zu teilen, nicht sie vor externen Bedrohungen zu schützen."

Dass jeder sensible Fotos auf der Lightshot-Website finden kann, ist kein großes Geheimnis. Durch eine Praxis wie Web Scraping kann eine Person etwa 13.000 Links zu öffentlich zugänglichen Screenshots erhalten. Darüber hinaus gibt es spezielle Programme, die helfen, die empfangenen Bilder auf persönliche Daten und intime Fotos zu analysieren.

Die Nutzungsbedingungen von Lightshot besagen außerdem, dass es Benutzern untersagt ist, Fotos hochzuladen, die nicht jugendfreie Inhalte enthalten oder einen Gesetzesverstoß darstellen. Allerdings hält sich nicht jeder an diese Regeln. Es ist auch erwähnenswert, dass weder die Lightshot-App selbst noch die Homepage ihrer Website eindeutig angeben, dass alle Screenshot-URLs öffentlich sind.

Diese Nachlässigkeit ermöglicht es Kriminellen, viele verschiedene Angriffe durchzuführen. Mit den richtigen Informationen können sie Ihre Zugangsdaten stehlen, Geld von Ihrer Karte abheben oder banales Phishing durchführen.

Kunden und das Unternehmen selbst sind gemeinsam dafür verantwortlich, die Weitergabe personenbezogener Daten zu verhindern. Die Leute sollten sich darüber im Klaren sein, dass ihre Fotos sofort nach dem Hochladen öffentlich werden. Sie sollten auch etwas vorsichtiger mit den Screenshots umgehen, die sie auf die Website hochladen.

Basierend auf Wired UK.