Según un investigador de seguridad, una empresa que fabrica fotomatones está poniendo las fotos y vídeos de los clientes en línea debido a una simple falla en el sitio web donde se almacenan los archivos.
El investigador, conocido como Zeacer, alertó a TechCrunch sobre el problema de seguridad a finales de noviembre después de informar de la vulnerabilidad a Hama Film, un fabricante de fotomatones con franquicias en Australia, Emiratos Árabes Unidos y Estados Unidos, en octubre, pero no recibió respuesta.
Zeacer compartió con TechCrunch una fotografía de muestra tomada de los servidores de Hama Film que muestra a un grupo de aparentemente jóvenes posando en un fotomatón. Además de imprimir fotografías como en un fotomatón típico, el stand de Hama Film también permite a los clientes cargar sus fotos en los servidores de la empresa.
Vibecast, propietaria de Hama Film, aún no ha respondido a su mensaje alertando a la empresa sobre el problema. Vibecast tampoco respondió a múltiples solicitudes de comentarios de TechCrunch, y el cofundador de Vibecast, Joel Park, no respondió a los mensajes enviados a través de LinkedIn.
El investigador dijo que hasta el viernes la compañía aún no había resuelto completamente las fallas de seguridad y continuaba filtrando datos de los clientes. Por este motivo, TechCrunch se abstiene de revelar detalles específicos de esta vulnerabilidad.
Cuando Zeacer descubrió la falla por primera vez, notó que las fotos parecían eliminarse de los servidores del fabricante del fotomatón cada dos o tres semanas.
Actualmente, parece que las fotos almacenadas en el servidor se eliminan después de 24 horas, lo que limita la cantidad de fotos disponibles a la vez, dijo. Sin embargo, los piratas informáticos aún pueden aprovechar las vulnerabilidades descubiertas todos los días para descargar cualquier contenido de foto o video en su servidor.
evento de crisis tecnológica
san francisco
|
13-15 de octubre de 2026
Giesser dijo que había visto más de 1.000 fotografías en línea del stand de Hama Film en Melbourne antes de esta semana.
Este incidente es el ejemplo más reciente de una empresa que no implementó, al menos en un momento dado, ciertas prácticas de seguridad básicas y ampliamente aceptadas, como la limitación de tarifas. El mes pasado, TechCrunch informó que el gigante contratista gubernamental Tyler Technologies no limita las tarifas de su sitio web, que se utiliza para permitir a los tribunales controlar la información personal de los jurados. Esto significa que cualquiera puede hackear el perfil de un jurado ejecutando un script de computadora que puede adivinar la fecha de nacimiento del jurado y un montón de identificadores numéricos fáciles de adivinar.
Source link
