Funkcja Lightshot. Jako najpopularniejsza usługa zrzutów ekranu od lat wycieka dane użytkowników do sieci.

Ostatnia aktualizacja gru 4, 2022

Lightshot generuje publiczne adresy URL, które są łatwym łupem dla oszustów.

Ludzie w ciemności sami udostępniają swoje poufne informacje online, gdy korzystają z popularnej aplikacji do zrzutów ekranu Lightshot. Adresy URL dziesiątek zrzutów ekranu zrobionych za pomocą aplikacji można łatwo znaleźć w Internecie, co czyni je łatwym łupem dla cyberprzestępców.

Aplikacja Lightshot, należąca do firmy programistycznej Skillbrains, jest popularna wśród milionów ludzi, którzy codziennie otrzymują i wysyłają dziesiątki zrzutów ekranu. Robiąc zrzut ekranu, osoba może przesłać swoje zdjęcie na serwer firmy za pomocą publicznego adresu URL. Możliwe jest zapisanie zrzutu ekranu na telefonie lub udostępnienie go w sieci społecznościowej.

Adres URL jest również potrzebny, aby użytkownicy mogli wysyłać swoje zrzuty ekranu znajomym, rodzinie lub współpracownikom. Lightshot przesłał już ponad dwa miliardy zrzutów ekranu do sieci. Jednak proces generowania samych adresów URL pozostawia wiele do życzenia.

Wszystkie linki do zrzutów ekranu mają prosty format: „ prnt.sc/" (serwer Lightshot) + sześcioznakowy kod alfanumeryczny. Oznacza to, że każdy może wpisać „prnt.sc/” oraz losową kombinację sześciu cyfr i liter i natknąć się na przesłany zrzut ekranu innego użytkownika. Takie sytuacje zdarzały się wielokrotnie podczas całego istnienia programu na rynku.

Pierwsze wydanie Lightshot miało miejsce w 2014 roku. Od tego czasu aplikacja była aktywnie rozwijana i stała się dostępna jako rozszerzenie dla przeglądarek oraz wersja komputerowa dla systemu operacyjnego. Program jest kompatybilny z systemami Mac i Windows, a także posiada wtyczki do Chrome i Firefox. Ponad milion osób korzysta z tego dodatku w Google Chrome i około 40 000 w Firefoksie. Na telefonach z Androidem aplikacja została zainstalowana z Google Play ponad 500 000 razy.

Jeśli spojrzysz na wyniki 11 000 losowo wygenerowanych adresów URL utworzonych przez system, z którego korzysta Lightshot, możesz łatwo znaleźć prywatne zdjęcia jego użytkowników. Większość linków oczywiście nie działa, ponieważ zrzuty ekranu zostały już usunięte lub nie można ich już znaleźć. Jednak wiele adresów URL należy do zrzutów ekranu, które zawierają nazwiska, adresy, numery kontaktowe, dane bankowe, a nawet intymne części ciała użytkowników aplikacji.

Zautomatyzowany skrypt znalazł 529 możliwych do wyświetlenia obrazów z 11 000 wygenerowanych adresów URL. Około 63% tych zrzutów ekranu zawierało absolutnie bezużyteczne informacje: klipy z gier wideo, listy życzeń, instrukcje kodowania.

Około 20% analizowanych obrazów zawierało dane, które można wykorzystać do kradzieży danych osobowych lub włamania się na inne konta. Ludzie udostępniali znajomym migawki rozmów, e-maili i postów w mediach społecznościowych, używając możliwych do zidentyfikowania nazw użytkowników.

Analiza wykazała, że 8% zrzutów ekranu zawierało więcej osobistych, prywatnych informacji. Wśród nich są intymne zdjęcia zrobione podczas wideorozmów; 6 zrzutów ekranowych użytkowników jako dzieci i 30 obrazów wyraźnie przedstawiających nazwiska, dane rejestracyjne i bankowe, numery telefonów, adresy IP i adresy dostawy osób.

„Udzielanie publicznego dostępu do wrażliwych danych użytkowników jest niedopuszczalne. Dzieje się tak, ponieważ platformy cyfrowe oszczędzają pieniądze na ochronie danych osobowych swoich klientów”.

Według Bhagya Wimalasiri, zaawansowanego badacza bezpieczeństwa systemów na Uniwersytecie w Sheffield, takie platformy są zbudowane na modelach, które monetyzują samą „ ideę braku bezpieczeństwa “. Nie myśląc o bezpieczeństwie użytkownika, takie aplikacje rozszerzają swoją funkcjonalność, aby przyciągnąć więcej klientów. Jednym z takich „chipów” są zrzuty ekranu z publicznym dostępem.

Skillbrains, do którego należy Lightshot, jeszcze nie skomentował. Jednak warunki korzystania z aplikacji wskazują, że wszystkie przesłane obrazy nie są prywatne. „Zrzut ekranu będzie dostępny dla każdego, kto wprowadzi jego dokładny adres URL. Żaden obraz przesłany na naszą stronę nie może być prywatny” – mówi polityka bezpieczeństwa programu. „Nasza strona jest przeznaczona do udostępniania zdjęć, a nie do ich ochrony przed zewnętrznymi zagrożeniami”.

Fakt, że każdy może znaleźć wrażliwe zdjęcia na stronie Lightshot, nie jest wielką tajemnicą. Dzięki praktyce takiej jak web scraping osoba może uzyskać około 13 000 linków do publicznie dostępnych zrzutów ekranu. Ponadto istnieją specjalne programy, które pomogą przeanalizować otrzymane obrazy pod kątem danych osobowych i intymnych zdjęć.

Warunki użytkowania Lightshot stanowią również, że użytkownicy nie mogą przesyłać zdjęć, które zawierają treści dla dorosłych lub przedstawiają naruszenie prawa. Jednak nie wszyscy przestrzegają tych zasad. Warto również zauważyć, że ani sama aplikacja Lightshot, ani strona główna jej witryny nie wskazują wyraźnie, że wszystkie adresy URL zrzutów ekranu są publiczne.

Taka nieostrożność pozwala przestępcom na przeprowadzanie wielu różnych ataków. Dysponując odpowiednimi informacjami, mogą ukraść Twoje dane uwierzytelniające, wypłacić pieniądze z Twojej karty lub przeprowadzić banalny phishing.

Klienci i sama firma są wspólnie odpowiedzialni za zapobieganie ujawnieniu danych osobowych. Ludzie powinni mieć świadomość, że ich zdjęcia stają się publiczne natychmiast po przesłaniu. Powinni też bardziej uważać na zrzuty ekranu, które przesyłają na stronę.

Na podstawie Wired UK.