Wyobraźcie sobie sytuację: robicie sobie beztroskie zdjęcie w fotobudce, chwila zabawy, pamiątka gotowa. Tyle że ta pamiątka – i setki innych – ląduje w internecie bez Waszej wiedzy, udostępniona światu z powodu rażącego błędu w zabezpieczeniach. To nie jest scenariusz z taniego filmu science fiction, lecz brutalna rzeczywistość dla klientów firmy produkującej kabiny do zdjęć, Hama Film.
Czy Wasze zdjęcia z fotobudki trafiły do sieci? Jak prosta luka stworzyła cyfrowy bałagan
Sytuacja, która wyszła na jaw pod koniec listopada, jest kolejnym gorzkim przypomnieniem, jak cienka bywa granica między cyfrową wygodą a katastrofą bezpieczeństwa danych. Według badacza bezpieczeństwa, który posługuje się pseudonimem Zeacer, firma Hama Film, posiadająca franczyzy w Australii, Zjednoczonych Emiratach Arabskich i Stanach Zjednoczonych, udostępniała zdjęcia i filmy swoich klientów w sieci. Dziwicie się, że nas to denerwuje? Powód jest prozaiczny, a zarazem szokujący: „prosta usterka w ich witrynie, gdzie pliki były przechowywane”.
Hama Film, będąca częścią Vibecast, nie tylko drukuje tradycyjne pamiątkowe zdjęcia; ich kabiny mają również funkcję wgrywania tych cyfrowych kopii na serwery firmy. To właśnie tam, w niezaszyfrowanej i niezabezpieczonej przestrzeni, czekały na kradzież lub niepowołany wgląd tysiące intymnych momentów. Zeacer, zgłaszając problem już w październiku, nie doczekał się natychmiastowej reakcji. Kiedy skontaktował się z TechCrunch, badacz udostępnił próbki zdjęć, na których wyraźnie widoczne były grupy młodych ludzi beztrosko pozujących w kabinach. To nie jest „wyciek danych klientów biznesowych”; to wyciek naszych prywatnych chwil.
Opanowanie chaosu: Od tygodniowego opóźnienia do dziennego zagrożenia
Co ciekawe, natura tego wycieku ewoluowała. Kiedy Zeacer najpierw odkrył lukę, zaobserwował, że Hama Film teoretycznie usuwa zdjęcia z serwerów co dwa do trzech tygodni. Teoretycznie, ponieważ do tego czasu wystarczająco dużo osób mogło je zobaczyć. Jednak w miarę upływu czasu i po wstępnym kontakcie (jak donosi TechCrunch), czas retencji zdjęć drastycznie się skrócił.
„Teraz, on [badacz] powiedział, że zdjęcia przechowywane na serwerach wydają się być usuwane po 24 godzinach” – pisze TechCrunch. Owszem, to pewna forma poprawy, ale spójrzmy prawdzie w oczy: to minimalna zmiana standardów bezpieczeństwa. Nawet jeśli zdjęcia znikają po dobie, oznacza to, że w ciągu tych 24 godzin haker może codziennie eksploatować tę samą, fundamentalną dziurę i pobierać całą zawartość serwera. W pewnym momencie Zeacer odnotował ponad 1000 zdjęć dostępnych publicznie dla samych kabin Hama Film w Melbourne. Czyżby zapomniano o podstawach bezpieczeństwa IT, takich jak choćby rate-limiting?
Czy firma zignorowała czerwone flagi? Cisza właścicieli i lekcja dla branży
Najbardziej irytujący element tej historii to milczenie firmy. Vibecast, właściciel Hama Film, „jeszcze nie odpowiedział na jego wiadomości alertujące o problemach”. Podobnie milczą co-founder Vibecast, Joel Park, oraz sama firma w kontakcie z TechCrunch. Brak reakcji na zgłoszenie bezpieczeństwa to faux pas na poziomie korporacyjnym, które powinno natychmiast wygenerować reakcję kryzysową.
TechCrunch, z uwagi na fakt, że firma do piątku nie usunęła w pełni luki, słusznie zdecydował się na wstrzymanie publikacji szczegółów technicznych tej wrażliwości. Chodzi o to, by nie dawać amatorom gotowego przepisu na inwigilację. Problem Hama Film to kolejna odsłona tej samej, powtarzającej się historii, którą ostatnio widzieliśmy np. w systemach sądowych w USA, gdzie przez brak mechanizmu rate-limiting (ograniczenie liczby prób logowania) zautomatyzowane skrypty mogły bez przeszkód odgadywać dane osobowe jurorów. Ograniczanie dostępu i walidacja zapytań to absolutne minimum, a nie opcjonalny dodatek w infrastrukturze przetwarzającej dane osobowe. Kiedy firmy traktują podstawowe zabezpieczenia jak opcjonalne dodatki, płacimy za to my – użytkownicy końcowi.
