详细内容或原文请订阅后点击阅览
Photo Booth 缺陷将人们的私人照片暴露在网上
一名安全研究人员表示,照相亭运营商的一个基本网站缺陷可能会泄露数百张私人客户照片。
来源:Malwarebytes Labs 博客照相亭很棒。您按下按钮即可立即获得结果。据称,对于至少一家运营它们的公司的安全实践来说,情况并非如此。
一名安全研究人员花了数周时间试图警告照相亭操作员其系统中存在漏洞。据报道,该漏洞将数百张客户的私人照片暴露给任何知道在哪里查看的人。
这位名叫 Zeacer 的研究人员表示,照片亭公司 Hama Film 运营的一个网站允许任何人无需登录即可下载客户照片和视频。这家澳大利亚公司为节日、音乐会和商业活动提供照片亭。人们拍一张照片,既可以在本地打印,也可以上传到网站供以后检索。
你会期望这样的网站会受到适当的保护,所以只有你会看到自己只穿着羽毛围巾,在你伴侣的雄鹿面前狂饮一瓶杰克丹尼啤酒。但据报道,事实并非如此。
你得到一张照片!你得到一张照片!每个人都有一张照片!
据 TechCrunch 审查了研究人员的分析,该网站存在一个众所周知且极其基本的安全漏洞。 TechCrunch 没有透露其名称,但提到了具有类似缺陷的网站,人们可以很容易地猜测出文件所在的位置。
当文件存储在容易猜测的位置并且不受密码保护时,任何人都可以访问它们。由于这些位置是可预测的,攻击者可以编写自动访问这些位置并下载文件的脚本。当这些文件属于用户(例如照片和视频)时,就会成为严重的隐私风险。
公司负有做出回应的道德责任
这就是为什么对于组织来说,防止 Zeacer 似乎已经发现的那种基本漏洞如此重要。他们可以通过适当的密码保护文件来实现这一点,限制一个用户访问大量文件的速度,并使位置无法猜测。