Recurso Lightshot. Como o serviço de captura de tela mais popular há anos, ele vaza dados do usuário para a rede.

Lightshot gera URLs públicos que são presas fáceis para golpistas.

As pessoas, no escuro, compartilham suas informações confidenciais on-line quando usam o popular aplicativo de captura de tela Lightshot. Os URLs de dezenas de capturas de tela tiradas com o aplicativo podem ser facilmente encontrados online, tornando-os presas fáceis para cibercriminosos.

O aplicativo Lightshot, de propriedade da empresa de desenvolvimento de software Skillbrains, é popular entre milhões de pessoas que recebem e enviam dezenas de capturas de tela todos os dias. Ao fazer uma captura de tela, uma pessoa pode enviar sua imagem para o servidor da empresa com um URL público. É possível salvar uma captura de tela em seu telefone ou compartilhá-la em uma rede social.

A URL também é necessária para que os usuários possam enviar suas capturas de tela para amigos, familiares ou colegas. Lightshot já carregou mais de dois bilhões de screenshots para a web. No entanto, o processo de como os próprios URLs são gerados deixa muito a desejar.

Todos os links de captura de tela têm um formato simples: " prnt.sc/" (servidor Lightshot) + um código alfanumérico de seis caracteres. Isso significa que qualquer pessoa pode inserir "prnt.sc/" e uma combinação aleatória de seis números e letras e tropeçar na captura de tela carregada por outro usuário. Tais situações aconteceram repetidamente durante toda a existência do programa no mercado.

O primeiro lançamento do Lightshot ocorreu em 2014. Desde então, o aplicativo foi desenvolvido ativamente e disponibilizado como extensões para navegadores e uma versão para desktop para o sistema operacional. O programa é compatível com Mac e Windows e também possui plugins para Chrome e Firefox. Mais de um milhão de pessoas usam este complemento no Google Chrome e cerca de 40.000 no Firefox. Em telefones Android, o aplicativo foi instalado do Google Play mais de 500.000 vezes.

Se você observar os resultados de 11.000 URLs gerados aleatoriamente pelo sistema que o Lightshot usa, poderá encontrar facilmente fotos privadas de seus usuários. A maioria dos links não funciona, é claro, porque as capturas de tela já foram removidas ou não podem mais ser encontradas. No entanto, muitos URLs pertencem a capturas de tela que incluem nomes, endereços, números de contato, dados bancários e até partes íntimas do corpo dos usuários do aplicativo.

O script automatizado encontrou 529 imagens mostráveis ​​de 11.000 URLs gerados. Cerca de 63% dessas capturas de tela continham informações absolutamente inúteis: clipes de videogames, listas de desejos, instruções de codificação.

Cerca de 20% das imagens analisadas incluíam dados que poderiam ser usados ​​para roubar informações pessoais ou invadir outras contas. As pessoas compartilharam instantâneos de conversas, e-mails e postagens de mídia social com amigos usando nomes de usuário identificáveis.

A análise mostrou que 8% das capturas de tela continham mais informações pessoais e privadas. Entre eles estão fotos íntimas que foram tiradas durante videochamadas; 6 capturas de tela de usuários quando crianças e 30 imagens mostrando claramente os nomes, registros e dados bancários, números de telefone, endereços IP e endereços de entrega das pessoas.

“Dar acesso público a dados confidenciais do usuário é inaceitável. Isso acontece porque as plataformas digitais economizam dinheiro na proteção das informações pessoais de seus clientes."

Segundo Bhagya Wimalasiri, pesquisador de segurança de sistemas avançados da Universidade de Sheffield, tais plataformas são construídas sobre modelos que monetizam a própria ” ideia de insegurança “. Sem pensar na segurança do usuário, tais aplicativos ampliam suas funcionalidades para atrair mais clientes. Um desses "chips" são capturas de tela com acesso público.

A Skillbrains, dona da Lightshot, ainda não comentou. No entanto, os termos de uso do aplicativo observam que todas as imagens carregadas não são privadas. “A captura de tela estará disponível para qualquer pessoa que inserir seu URL exato. Nenhuma imagem carregada em nosso site pode ser privada", diz a política de segurança do programa. "Nosso site foi projetado para compartilhar fotos, não para protegê-las de ameaças externas."

O fato de qualquer um poder encontrar fotos sensíveis no site Lightshot não é nenhum grande segredo. Por meio de uma prática como a raspagem da web, uma pessoa pode obter cerca de 13.000 links para capturas de tela disponíveis publicamente. Além disso, existem programas especiais que ajudarão a analisar as imagens recebidas para dados pessoais e fotos íntimas.

Os termos de uso do Lightshot também declaram que os usuários estão proibidos de fazer upload de fotos que contenham conteúdo adulto ou representem uma violação da lei. No entanto, nem todos seguem essas regras. Também é importante notar que nem o próprio aplicativo Lightshot nem a página inicial do site afirmam claramente que todos os URLs de captura de tela são públicos.

Tal descuido permite que os criminosos realizem muitos ataques diferentes. Com as informações certas, eles podem roubar suas credenciais, sacar dinheiro do seu cartão ou realizar phishing banal.

Os clientes e a própria empresa são solidariamente responsáveis ​​por impedir a divulgação de informações pessoais. As pessoas devem estar cientes de que suas fotos se tornam públicas imediatamente após o upload. Eles também devem ter um pouco mais de cuidado com as capturas de tela que carregam no site.

Baseado na Wired Reino Unido.