¿Sonreíste en el fotomatón? Ya estás en el disco duro de un hacker pervertido que colecciona fotos ajenas
Miles de personas en Melbourne, EE. UU. y Emiratos Árabes Unidos ya han caído en esta "trampa fotográfica".
La empresa Hama Film, que instala cabinas fotográficas en varios países, permitió una filtración de datos personales de sus clientes. En los servidores donde se almacenan las fotos y los videos tomados en esas «fotocabinas automáticas» se encontró una vulnerabilidad que permitía a terceros descargar fotografías ajenas. El problema siguió sin resolverse incluso después de que un especialista en seguridad lo señalara.
El almacenamiento inseguro de datos fue reportado por un investigador que actúa bajo el seudónimo Zeacer. Ya en octubre notificó a Hama Film sobre la vulnerabilidad encontrada, pero no recibió respuesta. Un mes después, al no obtener reacción, se puso en contacto con periodistas de TechCrunch y les entregó ejemplos del material obtenido de los servidores de la empresa. En las imágenes aparecían cientos de jóvenes que utilizaron las fotocabinas de Hama Film. Como se comprobó, los dispositivos no solo imprimen las fotos, sino que también las cargan automáticamente en un almacenamiento en línea.
Aunque Hama Film pertenece a la empresa Vibecast, que opera en Estados Unidos, Australia y los EAU, los representantes del propietario tampoco se han puesto en contacto. Ni a las comunicaciones de Zeacer ni a las consultas de TechCrunch respondieron ni la propia Vibecast ni su cofundador Ioil Pak.
Según el especialista, al momento de la publicación la empresa aún no había eliminado completamente la vulnerabilidad. Por eso no se revelan, por motivos de seguridad, los detalles concretos de cómo se podía acceder a los datos personales de los clientes. Solo se sabe que al principio las fotos subidas se almacenaban en el servidor durante dos o tres semanas. Ahora el periodo de conservación se redujo a un día, lo que reduce algo el volumen de datos disponibles, pero no resuelve el problema por completo. La vulnerabilidad permite descargar diariamente desde el servidor todo el conjunto de contenido — fotos y videos.
En noviembre el investigador registró más de mil fotografías disponibles en línea desde las cabinas de Hama Film en Melbourne. Todo ese tiempo, cualquier persona que conociera la vulnerabilidad podía acceder a ellas sin autorización ni restricciones técnicas.
El caso de Hama Film es otro ejemplo de cómo la ignorancia de medidas elementales de protección de datos, como la limitación de la frecuencia de solicitudes, conduce a filtraciones. Una historia similar ocurrió recientemente con el contratista estadounidense Tyler Technologies, cuyos sitios web para gestionar datos de jurados también no estaban protegidos contra el barrido masivo de combinaciones para comprometer perfiles personales.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla