¿Sonreíste en un fotomatón? Tu foto podría estar ya en el disco duro de un hacker pervertido que colecciona imágenes ajenas
Miles de personas en Melbourne, Estados Unidos y Emiratos Árabes Unidos ya han caído en esta "trampa fotográfica".
La empresa Hama Film, que instala fotomatones en varios países, permitió una filtración de datos personales de sus clientes. En los servidores donde se guardan las fotos y las grabaciones hechas en estos «fotomatones automáticos» se detectó una vulnerabilidad que permitía a terceros descargar fotografías de otras personas. El problema permaneció sin resolver incluso después de que un especialista en seguridad lo señalara.
El almacenamiento inseguro de datos lo informó un investigador que se presenta con el seudónimo Zeacer. Ya en octubre notificó a Hama Film sobre la vulnerabilidad encontrada, pero no obtuvo respuesta. Un mes después, al no lograr reacción, contactó a los periodistas de TechCrunch y les entregó ejemplos de materiales obtenidos de los servidores de la empresa. En las fotos aparecían cientos de jóvenes que habían utilizado los fotomatones de Hama Film. Resultó que los dispositivos no solo imprimen las fotos, sino que también las cargan automáticamente en un almacenamiento en línea.
Aunque Hama Film pertenece a la empresa Vibecast, que opera en EE. UU., Australia y los EAU, los representantes del propietario tampoco se comunicaron. Ni a las solicitudes de Zeacer ni a las consultas de TechCrunch respondieron ni Vibecast ni su cofundador Ioil Pak.
Según el especialista, al momento de la publicación la empresa todavía no había solucionado la vulnerabilidad por completo. Por eso no se divulgan, por motivos de seguridad, los detalles concretos sobre cómo se podía acceder a los datos personales de los clientes. Se sabe solo que al principio las fotos subidas se guardaban en el servidor durante dos o tres semanas. Ahora el periodo de conservación se redujo a un día, lo que disminuye un poco el volumen de datos disponibles, pero no resuelve el problema por completo. La vulnerabilidad permite descargar diariamente del servidor todo el conjunto de contenidos: fotos y grabaciones de vídeo.
En noviembre el investigador registró más de mil fotografías disponibles en línea desde los fotomatones de Hama Film en Melbourne. Durante todo ese tiempo, cualquiera que conociera la vulnerabilidad podía acceder a ellas sin autorización ni restricciones técnicas.
El caso de Hama Film es otro ejemplo de cómo la ignorancia de medidas elementales de protección de datos, como la limitación de la frecuencia de peticiones, conduce a filtraciones. Una historia similar ocurrió recientemente con el contratista estadounidense Tyler Technologies, cuyos sitios web para gestionar datos de jurados tampoco estaban protegidos contra el ensayo masivo de combinaciones para vulnerar perfiles personales.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!