Из-за недостатков в защите сайта производителя фотобудок Hama Film фотографии и видео клиентов в течение некоторого времени были публично доступны в интернете. Об этом сообщил независимый исследователь безопасности под псевдонимом Zeacer, который обнаружил уязвимость осенью и пытался предупредить компанию еще в октябре. Hama Film работает по франшизе в Австралии, ОАЭ и США, но на обращение эксперта не ответила.
Об этом сообщает ProIT
Детали проблемы и реакция компании
Zeacer предоставил примеры фотографий, полученных с серверов Hama Film, на которых изображены группы молодых людей в фотобудках. Кроме распечатки фотографий, оборудование компании автоматически загружает снимки на сервер для хранения. Владелец Hama Film, компания Vibecast, до сих пор не прокомментировала ситуацию и не ответила на сообщение исследователя, как и соучредитель Vibecast Джоел Парк в LinkedIn.
«На пятницу исследователь отмечает, что компания до сих пор не полностью исправила уязвимость и продолжает подвергать данные клиентов опасности».
Zeacer впервые обнаружил, что фотографии хранились на сервере Hama Film в течение двух-трех недель, после чего удалялись. Сейчас, по его словам, снимки удаляются уже через 24 часа, что ограничивает количество потенциально открытых файлов. Однако уязвимость все еще позволяет злоумышленникам ежедневно загружать новые фото и видео клиентов с серверов компании, если не будут приняты дополнительные меры защиты.
Отсутствие базовых мер кибербезопасности
Особого внимания заслуживает то, что Hama Film не применяла даже самые простые и распространенные меры безопасности, в частности ограничение количества запросов (rate-limiting). Это означает, что посторонние лица могли загружать большие массивы данных, не сталкиваясь с какими-либо ограничениями со стороны серверов компании. Подобные инциденты не являются единичными – в прошлом месяце стало известно о аналогичной проблеме у государственного подрядчика Tyler Technologies, который не ограничивал количество запросов к вебсайтам для судов, что позволяло получить доступ к персональной информации при массовом подборе данных.
До того, как компания сократила срок хранения фото, Zeacer зафиксировал более 1 000 открытых фотографий только для фотобудок в Мельбурне. Это еще раз подчеркивает важность внедрения современных стандартов киберзащиты при работе с данными клиентов.