Многие люди пересылают друг другу данные своих платежных карт, пароли или личную информацию в картинках, залитых на файлообменник. Ведь проще сфотографировать экран с помощью какой-нибудь утилиты и отправить адресату одной кнопкой, чтоб не мучиться. Объясняем, почему не стоит так делать.
У разных файлообменников — разные уязвимости. Но они есть всегда, вопрос лишь в трудозатратности получения данных. Давайте разберем самый простой пример — популярную утилиту для скриншотов LightShot.
Сделанные с её помощью снимки экрана можно залить на специальный файлообменник — prnt.sc.
Там ему присваивается уникальная ссылка, состоящая из набора символов. В нашем случае — https://prnt.sc/ni0f34
Но если мы изменим в комбинации символов хотя бы один, то получим картинку, залитую кем-то другим. Например, адрес https://prnt.sc/ni0f35покажет уже вот такую страницу:
А https://prnt.sc/ni0f14 вот это:
Как видите, залитые скриншоты вообще никак не защищены, просмотреть их может кто угодно. Для человека, хотя бы поверхностно знакомого с написанием скриптов, не составит труда сделать парсер, который будет собирать и просматривать все картинки, находящиеся в открытом доступе. Конкретно для prtscr даже есть готовая утилита.
Аналогичные дыры присутствуют в движках некоторых форумов или других файлообменников, типа http://zalil.su/. Который вдобавок еще индексирует файлы, делая их доступными для нахождения через поисковики. Остается только отфильтровать устаревшие.
Для того, чтобы воспользоваться указанными уязвимостями, не нужно особых знаний и навыков. По сути, этим могут заниматься даже школьники. Поэтому загружая снимки в файлообменники, держите в голове, что их сможет просмотреть какой-нибудь кибермошенник, или соседский мальчик Вова из 10-го класса.
