Відомий виробник фотомобільних автоматів став центром уваги через серйозну вразливість на своєму сайті, яка призвела до публікації особистих зображень та відео клієнтів в інтернеті.
Незалежний дослідник безпеки, відомий під псевдонімом Zeacer, повідомив про проблему в кінці листопада, після того як спробував зв’язатися з компанією Hama Film, що має франшизи в Австралії, Об’єднаних Арабських Еміратах та США, ще в жовтні. Однак відповіді він не отримав.
Дослідник надав TechCrunch зразки фотографій, отриманих з серверів Hama Film, де молоді люди позують у фотобудках. Ці будки не лише друкують знімки на місці, але й завантажують їх на сервери компанії, що стало причиною затримки у впровадженні якісних заходів безпеки.
Компанія-один із власників Hama Film, Vibecast, досі не прокоментувала ситуацію, незважаючи на неодноразові запити з боку TechCrunch. Співзасновник компанії, Джоел Парк, також не відреагував на повідомлення в LinkedIn.
За словами Zeacer, станом на п’ятницю проблема все ще не була вирішена, що залишає особисті дані користувачів під загрозою. З метою запобігання можливим зловживанням, TechCrunch утримується від публікації детальної інформації про вразливість.
Після первинного розслідування Zeacer зазначив, що фотографії видалялися з серверів раз на два-три тижні. Наразі ж дані зберігаються на серверах лише 24 години, що зменшує потенційну кількість зображень, доступних для зловмисників. Проте можливість отримання даних залишається відкритою, і хакери можуть заходити на сервери щодня для скачування Mediakontent.
Перед цим тижнем дослідник зазначив, що лише в одному з фотобудок у Мельбурні він спостерігав понад тисячу фотографій, викладених в мережі. Цей інцидент є ще одним підтвердженням того, що компанії ігнорують базові та загальноприйняті практики безпеки, такі як обмеження запитів. Нещодавно TechCrunch також повідомляв про проблеми у великого підрядника уряду Tyler Technologies, яка не впровадила обмеження на доступ до інформації при управлінні даними присяжних.
