Фішка Lightshot. Як найпопулярніший сервіс для скріншотів роками зливає дані користувачів у мережу.

Останнє оновлення Гру 1, 2022

Lightshot генерує загальнодоступні URL-адреси, які є легкою здобиччю для шахраїв.

Люди, перебуваючи в незнанні, самі діляться своєю конфіденційною інформацією в мережі, коли використовують популярну програму для створення скріншотів Lightshot. URL-адреси десятків знімків екрана, зроблених за допомогою програми, можна легко знайти в Інтернеті, що робить їх легкою здобиччю для кіберзлочинців.

Додаток Lightshot, що належить фірмі, що займається розробкою програмного забезпечення Skillbrains, популярний серед мільйонів людей, які отримують та відправляють десятки скріншотів щодня. Зробивши знімок екрана, людина може завантажити своє зображення на сервер компанії із загальнодоступною URL-адресою. Можна зберегти скріншот на телефон або поділитися ним у соціальній мережі.

URL-адреса потрібна також для того, щоб користувачі могли надсилати свої скріншоти друзям, сім’ї або колегам. За допомогою Lightshot було завантажено в мережу вже понад два мільярди знімків екрану. Однак процес того, як генеруються самі URL-адреси, залишає бажати кращого.

Всі посилання на скріншоти має простий формат: prnt.sc/ (сервер Lightshot) + шестизначний буквено-цифровий код. Це означає, що будь-хто може ввести prnt.sc/ і випадкову комбінацію з шести цифр і літер і натрапити на завантажений знімок екрана іншого користувача. Такі ситуації неодноразово траплялися весь час існування програми над ринком.

Перший реліз Lightshot відбувся у 2014 році. З того часу програма активно розвивалася і стала доступною як розширення для браузерів і десктопної версії для ОС. Програма сумісна з Mac та Windows, а також має плагіни для Chrome та Firefox. Більше мільйона людей використовують цей додаток у Google Chrome, і близько 40 000 – у Firefox. На телефони Android програма була встановлена з Google Play більше 500 000 разів.

Якщо переглянути результати 11 000 випадково згенерованих URL-адрес, створених за системою, яку використовує Lightshot, можна легко знайти приватні фото її користувачів. Більшість посилань, звичайно, не працюють, тому що скріншоти вже були видалені або більше не можуть бути знайдені. Однак багато URL-адрес належать знімкам екрана, на яких є імена, адреси, контактні телефони, банківські реквізити і навіть інтимні частини тіла користувачів програми.

Автоматичний скрипт виявив 529 доступних для показу зображень з 11 000 згенерованих URL-адрес. Близько 63% цих скріншотів містили абсолютну марну інформацію: уривки з відеоігор, списки бажань, інструкції з кодування.

Близько 20% проаналізованих зображень включали дані, які можуть бути використані для крадіжки особистої інформації або злому інших акаунтів. Люди ділилися з друзями знімками листування, електронних листів та постів у соціальних мережах, використовуючи ідентифіковані імена користувачів.

Аналіз показав, що 8% скріншотів містили більш особисту, приватну інформацію. Серед них є інтимні фото, зроблені під час відеодзвінків; 6 скріншотів зі знімками користувачів у дитинстві та 30 зображень, де чітко видно імена, реєстраційні та банківські дані, номери телефонів, IP-адреси та адреси доставки людей.

«Надання відкритого доступу до конфіденційних даних користувачів є неприпустимим. Це відбувається тому, що цифрові платформи економлять на захисті особистої інформації своїх клієнтів»

На думку Bhagya Wimalasiri, наукового співробітника у сфері безпеки передових систем в Університеті Шеффілд, такі платформи побудовані на моделях, які монетизують саму " ідею незахищеності ". Не думаючи про безпеку користувача, такі програми розширюють свій функціонал, щоб залучити більше клієнтів. Однією з таких «фішок» є скріншоти із загальнодоступним доступом.

Компанія Skillbrains, яка володіє Lightshot, поки що не дає жодних коментарів. Однак в умовах використання програми зазначається, що всі завантажені зображення є приватними. «Скріншот буде доступний будь-якому користувачу, хто введе його точну URL-адресу. Жодне зображення, завантажене на наш сайт, не може бути приватним», – йдеться у безпековій політиці програми. «Наш сайт призначений для обміну фото, а не їхнього захисту від зовнішніх загроз».

Той факт, що будь-хто може знайти конфіденційні фото на сайті Lightshot, не є великим секретом. За допомогою такої практики, як веб-скрейпінг, людина може отримати близько 13 000 посилань на загальнодоступні скріншоти. Більше того, є спеціальні програми, які допоможуть проаналізувати отримані зображення щодо особистих даних та інтимних фото.

В умовах використання програми Lightshot також зазначено, що користувачам забороняється завантажувати фото, на яких є контент для дорослих або зображено порушення закону. Однак не всі дотримуються цих правил. Варто також зазначити, що ні в самій програмі Lightshot, ні на головній сторінці його веб-сайту чітко не вказано, що всі URL-адреси скріншотів є загальнодоступними.

Така безладність дає можливість злочинцям здійснити безліч різних атак. Маючи потрібну інформацію, вони зможуть вкрасти ваші облікові дані, зняти гроші з картки або здійснити банальний фішинг.

Клієнти та сама компанія разом несуть відповідальність за запобігання розкриттю особистої інформації. Люди повинні бути обізнані про те, що їхні фото стають загальнодоступними одразу після завантаження. Їм також варто з трохи більшою обережністю ставитись до тих скріншотів, які вони завантажують на сайт.

За матеріалами Wired UK.