¿Sonreíste en un fotomatón? Tu foto podría estar ya en el disco duro de un hacker pervertido que colecciona imágenes ajenas
Esta «trampa fotográfica» ya ha atrapado a miles de personas en Melbourne, EE. UU. y Emiratos Árabes Unidos.
La empresa Hama Film, que instala fotomatones en varios países, permitió una filtración de datos personales de sus clientes. En los servidores donde se guardan las fotos y grabaciones de vídeo tomadas en estos «fotomatones automáticos» se detectó una vulnerabilidad que permitía a terceros descargar fotos ajenas. El problema permaneció sin resolver incluso después de que un especialista en seguridad lo señalara.
El almacenamiento inseguro de datos lo informó un investigador que usa el seudónimo Zeacer. Ya en octubre notificó a Hama Film sobre la vulnerabilidad encontrada, pero no recibió ninguna respuesta. Al mes, al no obtener reacción, se contactó con periodistas de TechCrunch y les entregó una muestra del material obtenido de los servidores de la empresa. En las fotos aparecían cientos de jóvenes que habían usado los fotomatones de Hama Film. Como se comprobó, los dispositivos no solo imprimen las fotos, sino que también las cargan automáticamente en un almacenamiento en línea.
Aunque Hama Film pertenece a la empresa Vibecast, que opera en EE. UU., Australia y los EAU, los representantes del propietario tampoco se comunicaron. Ni a las solicitudes de Zeacer ni a las consultas de TechCrunch respondió ni la propia Vibecast ni su cofundador Ioil Pak.
Según el especialista, al momento de la publicación la empresa aún no había corregido por completo la vulnerabilidad. Por ello, los detalles concretos sobre cómo se podía acceder a los datos personales de los clientes no se revelan por motivos de seguridad. Se sabe solo que al principio las fotos subidas se almacenaban en el servidor durante dos o tres semanas. Ahora el periodo de conservación se ha reducido a un día, lo que disminuye un poco el volumen de datos disponibles, pero no resuelve el problema por completo. La vulnerabilidad permite descargar del servidor diariamente todo el conjunto de contenido: fotos y grabaciones de vídeo.
En noviembre el investigador registró más de mil fotografías disponibles en línea desde los fotomatones de Hama Film en Melbourne. Todo ese tiempo cualquiera que conociera la vulnerabilidad pudo acceder a ellas sin autorización ni restricciones técnicas.
El caso de Hama Film es otro ejemplo de cómo la ignorancia de medidas elementales de protección de datos, como la limitación de la frecuencia de solicitudes, conduce a filtraciones. Una historia similar ocurrió recientemente con el contratista estadounidense Tyler Technologies, cuyos sitios web para trabajar con los datos de jurados también no estaban protegidos contra intentos masivos de probar combinaciones para vulnerar perfiles personales.
Las huellas digitales son tu debilidad, y los hackers lo saben