Querían imprimir recuerdos y acabaron filtrando 2 millones de fotos personales: las impresoras Lifeprint convirtieron imágenes privadas en una galería pública.
Fotos privadas expuestas a cualquiera — y nadie se hace responsable.
Especialistas de Cybernews detectaron una filtración masiva de datos de los usuarios de las impresoras fotográficas portátiles Lifeprint. Estos dispositivos, fabricados por la empresa C+A Global, permiten imprimir instantáneamente imágenes directamente desde smartphones con iOS y Android. Sin embargo, en lugar de mantener los recuerdos a salvo, el servicio expuso públicamente más de 8 millones de archivos —incluyendo 2 millones de fotografías únicas, listas de usuarios, direcciones de correo electrónico e incluso estadísticas de impresión.
La causa de la filtración fue un bucket en la nube mal configurado —no requería ningún tipo de autorización, por lo que cualquier usuario de internet podía acceder a los datos. Entre los archivos abiertos había no solo imágenes, sino también datos exportados en formatos JSON y CSV, que contenían información privada de más de 100 000 usuarios. En los metadatos también se conservaban estadísticas: en total los propietarios de Lifeprint imprimieron 1,6 millones de fotos.
Los problemas no terminan ahí. En ese mismo directorio público los investigadores encontraron varios firmware de impresora y, junto con ellos, una clave privada RSA en texto claro. Esa clave, al parecer, se usaba para firmar las actualizaciones de firmware. De este modo, un posible atacante podría crear un firmware malicioso, firmarlo con esa clave y reemplazar los archivos originales en el servidor. Si las impresoras comprueban automáticamente el bucket en busca de nuevas versiones de firmware, ese escenario podría permitir a los atacantes cargar código malicioso en los dispositivos, tomar el control o incluso incorporarlos a una botnet.
Los investigadores subrayan que la situación constituye una amenaza real para la seguridad de los usuarios, incluyendo el riesgo de filtración de fotografías personales e íntimas, robo de identidad, acoso o incluso doxing. También queda en entredicho la fiabilidad de la propia infraestructura de IoT: almacenar claves criptográficas junto al firmware, la falta de aislamiento de los datos de los usuarios y la ausencia total de control de acceso son un antipatrón clásico.
Cybernews transmitió la información al fabricante, pero no ha habido respuesta hasta ahora. La filtración se detectó por primera vez el 28 de julio de 2025; el mensaje a la empresa se envió al día siguiente, y la notificación a CERT — 6 de agosto. No se recibió ningún comentario público de C+A Global en el momento de la publicación.