Hama Film Fotoğraf Kabini Açığı Müşteri Fotoğraflarını Ortaya Çıkardı

Fotoğraf kabini üreticisi Hama Film'in web sitesindeki önemli bir güvenlik açığı, müşterilerin özel fotoğraf ve videolarını çevrimiçi olarak ifşa ediyor. Bir güvenlik araştırmacısının ortaya çıkardığına göre, tekrarlanan uyarılara rağmen, herkesin kullanıcı içeriğini kolayca indirmesine olanak tanıyan bu açık büyük ölçüde giderilmemiş durumda ve Hama Film hizmetlerini kullananlar için ciddi veri gizliliği endişeleri yaratıyor.

Güvenlik açığı ilk olarak Zeacer adlı bir güvenlik araştırmacısı tarafından tespit edildi ve kendisi sorunu Ekim ayında Hama Film'e bildirdi. Yanıt alamayan Zeacer, Kasım ayı sonlarında konuyu TechCrunch'a taşıyarak ifşa olan verilere dair kanıtlar sundu. Avustralya, Birleşik Arap Emirlikleri ve Amerika Birleşik Devletleri'nde bayilikleri bulunan Hama Film, sorunu henüz kamuoyuna açıklamadı veya tam olarak çözmedi.

Zeacer, TechCrunch ile örnek görseller paylaşarak açığı gösterdi; bu görsellerde genç bireylerin fotoğraf kabinlerinde poz verdiği görülüyordu. Hama Film'in kabinleri sadece fiziksel fotoğraflar basmakla kalmıyor, aynı zamanda dijital kopyaları şirketin sunucularına yüklüyor ve güvenlik açığı da burada meydana geliyor. Basit arka uç sistemi açığı, bu hassas müşteri resimlerine ve videolarına yetkisiz erişim ve indirme imkanı tanıyor.

Hama Film'in ana şirketi Vibecast, Zeacer'ın mesajlarına veya TechCrunch'tan gelen çok sayıda yorum talebine yanıt vermedi. Vibecast'ın kurucu ortağı Joel Park da LinkedIn üzerinden gönderilen mesajlara cevap vermeyerek, kritik veri ifşasıyla ilgili iletişim eksikliğini gösterdi.

Cuma günü itibarıyla araştırmacı, Hama Film'in güvenlik açığını hala tam olarak çözmediğini, yani müşteri verilerinin risk altında olmaya devam ettiğini doğruladı. Daha fazla istismarı önlemek amacıyla TechCrunch, güvenlik açığının belirli teknik detaylarını yayınlamaktan kaçınıyor. Zeacer başlangıçta fotoğrafların sunuculardan her iki ila üç haftada bir silindiğini gözlemlemiş olsa da, şirket saklama politikasını ayarlamış gibi görünüyor ve resimler artık 24 saat sonra siliniyor. Ancak bu değişiklik yalnızca ifşa süresini sınırlıyor; kararlı bir saldırgan, yeni yüklenen tüm fotoğraf ve videoları indirmek için açığı günlük olarak istismar edebilir.

Son saklama politikası değişikliğinden önce Zeacer, yalnızca Melbourne'daki Hama Film kabinlerinden binden fazla fotoğrafın çevrimiçi olduğunu bildirmişti. Bu olay, şirketlerin hız sınırlaması gibi temel ve yaygın olarak kabul görmüş güvenlik uygulamalarını hayata geçirmedeki başarısızlıklarının bir başka çarpıcı hatırlatıcısıdır. Geçen ay, TechCrunch, devlet müteahhidi Tyler Technologies'in benzer bir güvenlik açığına karıştığını bildirmişti; bu açıkta, hız sınırlamasının olmaması, ABD'nin çeşitli eyaletlerindeki jüri yönetim sistemlerinde hassas kişisel verileri ifşa etmişti.