Через недоліки у захисті сайту виробника фотобудок Hama Film фотографії та відео клієнтів певний час були публічно доступні в інтернеті. Про це повідомив незалежний дослідник безпеки під псевдонімом Zeacer, який виявив уразливість восени та намагався попередити компанію ще у жовтні. Hama Film працює за франшизою в Австралії, ОАЕ та США, але на звернення експерта не відповіла.
Про це розповідає ProIT
Деталі проблеми та реакція компанії
Zeacer надав приклади фотографій, отриманих із серверів Hama Film, де зображені групи молодих людей у фотобудках. Окрім роздруку фотографій, обладнання компанії автоматично завантажує знімки на сервер для зберігання. Власник Hama Film, компанія Vibecast, досі не прокоментувала ситуацію та не відповіла на повідомлення дослідника, як і співзасновник Vibecast Джоел Парк у LinkedIn.
“Станом на п’ятницю, дослідник зазначає, що компанія досі не повністю виправила уразливість і продовжує наражати дані клієнтів на небезпеку”.
Zeacer вперше виявив, що фотографії зберігалися на сервері Hama Film протягом двох-трьох тижнів, після чого видалялися. Зараз, за його словами, знімки видаляються вже за 24 години, що обмежує кількість потенційно відкритих файлів. Однак уразливість все ще дозволяє зловмисникам щодня завантажувати всі нові фото та відео клієнтів із серверів компанії, якщо не буде вжито додаткових заходів захисту.
Відсутність базових заходів кібербезпеки
Особливої уваги заслуговує те, що Hama Film не застосовувала навіть найпростіші та поширені заходи безпеки, зокрема обмеження кількості запитів (rate-limiting). Це означає, що сторонні особи могли завантажувати великі масиви даних, не стикаючись із жодними обмеженнями із боку серверів компанії. Подібні інциденти не є поодинокими – минулого місяця стало відомо про аналогічну проблему у державного підрядника Tyler Technologies, який не обмежував кількість запитів до вебсайтів для судів, що дозволяло отримати доступ до персональної інформації при масовому підборі даних.
До того, як компанія скоротила термін зберігання фото, Zeacer фіксував понад 1 000 відкритих фотографій лише для фотобудок у Мельбурні. Це ще раз підкреслює важливість впровадження сучасних стандартів кіберзахисту при роботі з даними клієнтів.