Многие из моих читателей, никогда не вкладывались в финансовые пирамиды, не покупали нелегальные товары в интернете, не скачивали вирусное ПО становясь потенциальными жертвами вымогателей или хакеров, но каждый из нас ежедневно по несколько раз совершает это действие, делает скриншот рабочих документов, паспорта, личной переписке или информации о счетах в банке. Для того чтобы произвести это действие нужно нажать соответствующую сочетания клавиш и вставить снимок экрана в диалог, текст или письмо однако все это уже давно устарело десятки миллионов пользователей используют для создания и редактирования скриншотов быстрые простые а главное удобные утилиты одна из них Lightshot сегодня я расскажу как известный сервис для скриншотов годами сливает данные пользователей в сети.
Как я нашел ваши скриншоты, переписки, интимные фото, документы, конфиденциальные письма и чеки об оплате. Сколько времени это потребовало, и что можно сделать с подобной информацией.
В ближайшие несколько минут вас ждет обзор практической демонстрации интересной особенности популярного сервиса Lightshot. Пока в попытке кражи 12000$ с биткоин кошелька человека который решил сделать скриншот логина и пароля своего аккаунта на бирже, нахождение нескольких фотографии водительских прав, анализ скриншотов базы данных микрофинансовых организаций которые сделали сотрудники. Ответы на главные вопросы действительно ли ваш скриншот может увидеть любой желающий и реально ли этого избежать поддержите наш материал лайком несколькими комментариями.
Дополнительные возможности по редактированию изображения публикации в интернете.
Принцип работы максимально прост, пользователь нажимает соответствующую клавишу софт генерирует окно скриншота которое можно изменить по размеру, после чего добавить стрелочки, подчеркивание, замазать некоторые области.
Сервис использует миллионы пользователей ПК так же сотни тысяч обладателей смартфонов на базе Android просто, быстро и удобно. Правда есть одно очень веское “ НО” при использовании LightShot - генерирует общее доступны IRL адреса которые являются легкой добычей для мошенников, сделав снимок экрана человек может загрузить свою изображения на сервер компании с общедоступным IRL адресам, и есть возможность сохранить скриншот на телефон или поделиться им в социальной сети, все ссылки на скриншоты имеют простой формат “PRNT.SC/10FA*” и шестизначные буквенно цифровой код это означает что любой желающий может вести 1 часть и случайную комбинацию из 6 символов наткнувшись на загруженные снимок экрана от другого пользователя публикации об этом стали активно появляться на просторах интернета в последнюю неделю хотя тема актуальна с момента запуска сервиса почему любой все еще может получить доступ к снимку вашего экрана дело в том что это не уязвимость, это возможность данного сервиса. Просмотреть любой скриншот прописано в политике конфиденциальности: цитирую - каждое изображение может быть просмотрена любым пользователем который наберет его точный адрес. Не одно изображение загружено на сайт никогда полностью не скрывается от публичного просмотра, правила использования так же содержит список файлов которые запрещены для загрузки среди них:
- фотографии интимного характера
- личные данные
- реклама
- показ запрещенных веществ
- показ сомнительных услуг
Правда на практике все это не имеет никакого смысла, если бы сервис не пытался убедить пользователей фильтрацией.
Откуда я это знаю?
Все просто, дабы не быть голословными практически докажу возможность использования LightShot в целях шантажа и кражи личных данных!
Получил первые результаты: 1 из скриншотов является фотографии документов, жительницей Индонезии, судя по карточке, скорее всего, перед нами водительские права дали интереснее.
На первый взгляд совершенно бесполезно, но попытайтесь вспомнить не делали вы подобных скриншотов?
Если да, заинтересованные пользователи могут откопать их всего за несколько минут, далее я нашёл 1 файл
Он содержал логин и пароль человека который зарегистрировался на биткоин бирже, и здесь начинается самое интересное, находим указанный сайт, заходим в поле авторизации и пытаемся вести указанные данные о чудо они подходят и на балансе жертвы нашего случайного поиска лежит и 0,2 биткоина, только что я стал богаче на 12000$, осталось только вывести средства со счета в наличные.
Правда все не так просто для подтверждения транзакции необходимо внести 22$ на счет сервиса, простая формальность учитывая наш нереальный доход, такая сумма сущий пустяк просим тех кто уже перешел на LightShot и заваривает кофе для бессонной ночи в поисках подобных аккаунтов закрыть вкладку, это банальная схема мошенничества мы переведем 22$ система запросит еще одну транзакцию и так до полного опустошения нашего счета, подобное скриншоты делаются намеренно их авторы люди которые знают о рассматриваемой особенностей, хотят заработать на глупости и самоуверенности других пользователей, проще говоря жертвой становитесь вы, как только делайте попытку входа он якобы слитым данным, яркое подтверждение отзывы о фейковой бирже на которую мы перешли, тратить десятки часов на ручной перебор общедоступных скриншотов не оправдано.
Поэтому мы решили найти способ автоматизировать этот процесс, поиск парсера скриншотов для рассматриваемого сервиса занял всего несколько минут скачиваем архив открываем программу и изучаем возможности все просто пользователю необходимо ввести случайное число скриншотов, и указать папку для скачивания. Максимально простое объяснение принципа работы программы, программа будет делать то же самое что и мы своими ручками, случайным образом подбирать адреса, после чего скачивать доступные результаты в личную папку. Мы решили найти для вас максимум разнообразных скриншотов поэтому я скачал для вас 1000 а потом и 10.000 файлов, процесс занял около 40 минут, мониторинг и отбор около часа, и того вот что мы получили за два часа личного времени. Очевидно масса скриншотов содержала материалы для взрослых показывать их тут я не могу, лишь уточню что некоторый процент являлся личными архивами людей которые и не подозревают что изображение на LightShot, это общее доступная информация, очевидно что подобные фото можно использовать для шантажа, вычислить отправителя по имени и аватарки в условно ВКонтакте, написать с фейковой страницы и запросить несколько тысяч рублей, угрожая массовой рассылкой друзьям жертвы. Для тех кто вспомнил что скринил подобное и отправлял другу да вы похвастаться, есть решения: прочитайте материал до конца.
Одной из первых находок с помощью парсера, вновь были водительские права
по крайней мере документ выглядит именно так если я ошибаюсь жду ремарки в комментариях, владелец документа проживает в Турции далее вновь о адрес и ФИО человека который можно использовать для преследования или шантажа, таких файлов было достаточно много, правда все они относились к иностранным гражданам.
Не теряю надежды, что дело не в рандоме. А в том что жители стран СНГ начали серьезнее подходить к сохранности персональных данных. Достаточно забавная находка нашел скриншот с ресурса по проверке грамотности и уникальности текста,
перед нами краткий отзыв некой специализированной компании о накрутке отзывов и создании положительной репутации бренда за деньги.
Иронично что через несколько минут нам попался все тот же отзыв, только уже дополненный и отредактированный, надеемся копирайтеру все же заплатили за текст. Немного повеселились а теперь действительно к важному в первой 1000 скриншотов которое мы получили с помощью парсера нашлись два скрина из реестра данных микро-финансовых организаций, каждая строка таблицы содержит ФИО человека, номер договора кредитования, дату займа, сумму выдачи и дату возврата. Судя по настройкам поиска которую осуществлял специалист сделавший скриншот, каждый гражданин из списка уже просрочил платеж, что можно сделать с данной информацией? Звоним человеку, говорим что при возврате половины суммы, готовы закрыть его долг в течении получаса, диктуем купленную карту, получаем половину суммы долга человека, который просто взял деньги в быстрых займов и даже не подозревает, что мы знаем о нем все только из - за открытого доступа к скриншотам, уточняю - "ДОРОГИЕ МОИ ЧИТАТЕЛИ ЭТО НЕ ПРИЗЫВ К ДЕЙСТВИЮ, СКОРЕЕ ЕЩЁ ОДНО НАПОМИНАНИЕ" что верить сотрудникам банка или других организаций которые звонят по странным вопросом не стоит, продолжая изучать данные, натыкаемся на еще 1 интересный скриншот левая часть экрана информация с сайта гос.закупок, попытка перехода по ссылке не приносит результатов. Справа таблица в которой отображается несостыковка официальных данных в размере нескольких десятков тысяч рублей, вдаваться в подробности показанной информации не будем, для этого уже есть другие люди, останавливаться на личных переписках пользователей не будем, да они были и в достаточно большом количестве и однако вникать в ссоры и ругань шестнадцатилетних школьников
не так интересно как брать микро-займ на другого человека, согласитесь именно это можно сделать с использованием найденного фото - мужчина держит в руках документ удостоверяющий личность
что является явным признаком получении денег в долг онлайн или регистрации на сайте букмекерской конторы, как вы понимаете повторить эти операции без участия автора фото, проще простого. На просторах интернета можно найти в массу организации которые отсылают деньги на карту под бешеный процент, требуя только такую фотографию для идентификации личности. То же самое нужно сделать при устройстве в нелегальные преступные организации но это уже совсем другая история. Еще один тип файлов найденных в скачанной папке, банковские чеки из разных стран компаний но некоторые из них содержат ФИО и номер карты гражданина, таким образом по одному скриншоту мы узнали краткую информацию о человеке, а также банки которыми он пользуется, казалось бы скромный набор может служить отличным стартом для оформления кредита на чужое имя.
Главный вопрос вечера:
Как убрать мои скриншоты из общего доступа?
Обращение в техническую поддержку или попытка поднять волну негодования в этот раз не помогут, так особенность прописана в пользовательском соглашении поэтому для сохранения своих данных рекомендуем просто удалить их если файлы были загружены в созданном посредством google или facebook аккаунте, случай когда скриншоты или фото были загружены без авторизации единственный выход пожаловаться на фото прикрепил свой E-mail это может сработать, если файл содержит материалы для взрослых или личные данные правда с учетом всех наших находок, звучит маловероятно уточним что это не разоблачении или призыв отказаться от LightShot мы лишь указали на риски которая оценивает каждый из вас, жду мнения о материале в комментариях особенно благодарен тем кто пишет расширенные комментарии.