Schwachstelle in Fotokabinen legt private Bilder online frei
Fotokabinen sind eine tolle Erfindung. Man drückt e Knopf und erhält sofortige Ergebnisse. Doch das gilt nicht unbedingt für die Sicherheitspraktiken von mindestens einer Firma, die solche Geräte betreibt.
Ein Sicherheitsexperte hat Wochen damit verbracht, einen Anbieter von Fotokabinen über eine Schwachstelle in seinem System zu informieren. Berichten zufolge wurden die privaten Fotos von Hunderten von Kunden für jeden zugänglich, der wusste, wo er suchen musste.
Der Forscher, der sich Zeacer nennt, hat herausgefunden, dass eine Website der Fotokiosk-Firma Hama Film es jedem ermöglichte, Kundenfotos und -videos herunterzuladen, ohne sich einzuloggen. Das australische Unternehmen bietet Fotokioske für Festivals, Konzerte und kommerzielle Veranstaltungen an. Die Leute machen ein Foto, das sie entweder direkt lokal drucken oder später auf eine Website hochladen können, um es dort abzurufen.
Man würde erwarten, dass eine solche Seite ordentlich geschützt ist, damit nur du deine peinlichen Schnappschüsse, wie dich in einem Federboa mit einer Flasche Jack Daniels, die beim Junggesellenabschied gemacht wurden, sehen kannst. Doch Berichten zufolge war dem nicht so.
Jeder bekommt ein Foto!
Laut TechCrunch, das die Analyse des Forschers überprüft hat, litt die Website unter einer bekannten und äußerst grundlegenden Sicherheitsanfälligkeit. TechCrunch nannte sie nicht direkt, erwähnte jedoch ähnliche Websites, bei denen es einfach war, erraten zu können, wo Dateien gespeichert waren.
Wenn Dateien an leicht erratbaren Orten ohne Passwortschutz gespeichert werden, kann jeder darauf zugreifen. Da diese Orte vorhersehbar sind, können Angreifer Skripte schreiben, die automatisch dort vorbeischauen und die Dateien herunterladen. Wenn diese Dateien Benutzern gehören (wie Fotos und Videos), stellt das ein erhebliches Risiko für die Privatsphäre dar.
Auf den ersten Blick mag der Diebstahl von Fotos nicht allzu gefährlich erscheinen. Aber man sollte die Möglichkeiten bedenken. Gesichtserkennungstechnologie ist weit verbreitet. Menschen bei Veranstaltungen tragen oft Ausweise mit Firmenzugehörigkeiten oder Namensschildern. Während man über peinliche Fotos vielleicht hinwegsehen kann, sieht die Sache ganz anders aus, wenn es sich um ein Familienfoto handelt und deine Kinder darauf zu sehen sind. Diese Bilder könnten irgendwo auf der Festplatte von jemandem landen, ohne dass man sie zurückbekommt oder sogar weiß, dass sie entwendet wurden.
Unternehmen haben eine ethische Verantwortung
Deshalb ist es so wichtig, dass Organisationen die grundlegenden Schwachstellen, die Zeacer gefunden zu haben scheint, verhindern. Sie können das tun, indem sie Dateien ordnungsgemäß passwortschützen, die Geschwindigkeit, mit der ein Benutzer auf eine große Anzahl von Dateien zugreifen kann, einschränken und dafür sorgen, dass die Speicherorte nicht erraten werden können.
Zusätzlich sollten sie Forscher anerkennen und Schwachstellen schnell beheben, wenn sie gemeldet werden. Laut öffentlichen Berichten hat Hama Film nicht auf Zeacers Nachrichten geantwortet, sondern die Aufbewahrungsfrist für Dateien von etwa zwei bis drei Wochen auf etwa 24 Stunden verkürzt. Das könnte den Angriffsvektor zwar einschränken, verhindert aber nicht, dass jemand täglich alle Bilder herunterlädt.
Was kannst du tun, wenn du eine dieser Kabinen benutzt hast? Leider bleibt dir nicht viel mehr, als anzunehmen, dass deine Fotos möglicherweise angesehen wurden.
Organisationen, die Fotokabinenanbieter engagieren, haben mehr Einfluss. Sie können nachfragen, wie lange Bilder aufbewahrt werden, welche Datenschutzrichtlinien gelten, ob Downloadlinks passwortgeschützt und die Zugriffszahlen limitiert sind und ob das Unternehmen Sicherheitsüberprüfungen von Dritten durchlaufen hat.
Hama Film ist nicht das einzige Unternehmen, das Opfer solcher Exploits geworden ist. TechCrunch berichtete bereits über ein System zur Verwaltung von Geschworenen, das die persönlichen Daten von Geschworenen offengelegt hat. Kreditanbieter haben sensible Finanzinformationen geleakt, und 2019 hat First American Financial Corp 885 Millionen Dateien offengelegt, die 16 Jahre zurückreichen.
Im Jahr 2021 sah sich das rechtsgerichtete soziale Netzwerk Parler mit bis zu 60 TB Daten (einschließlich gelöschter Beiträge) konfrontiert, nachdem Aktivisten eine ungeschützte API mit fortlaufend nummerierten Endpunkten gefunden hatten. Leider befürchten wir, dass dieser Vorfall nicht der letzte sein wird.
Wir berichten nicht nur über Datenschutz – wir helfen dir, deine persönlichen Informationen zu entfernen
Cybersecurity-Risiken sollten sich nie nur auf eine Schlagzeile beschränken. Mit dem Malwarebytes Personal Data Remover kannst du scannen, um herauszufinden, welche Websites deine persönlichen Daten exponieren, und diese sensiblen Informationen dann aus dem Internet löschen.
Zusammenfassend lässt sich sagen, dass die Vorfälle rund um die Fotokabinen und deren Sicherheitslücken ein ernstes Problem für den Datenschutz darstellen. Es ist von entscheidender Bedeutung, dass Anbieter von solchen Diensten die notwendigen Maßnahmen ergreifen, um solche Schwachstellen frühzeitig zu identifizieren und zu schließen. Nur so kann verhindert werden, dass Nutzer ungewollt in die Öffentlichkeit geraten und ihre Privatsphäre gefährdet wird.