ببین چی شده! اگه تا حالا از پرینتر قابل حمل Lifeprint استفاده کردی یا حداقل اسمش به گوشت خورده، لازمه بدونی که اخیراً یه نشت بزرگ اطلاعاتی اتفاق افتاده که کلی عکس و اطلاعات خصوصی از کاربرا لو رفته. ماجرا اینجوریه که چندتا محقق امنیتی از سایت Cybernews فهمیدن که بیش از ۸ میلیون فایل (از جمله حدود ۲ میلیون عکس شخصی) و کلی اطلاعات حساس بدون هیچ رمز و امنیتی روی اینترنت قرار گرفته بوده! یعنی کافی بود آدرس رو بدونی و هر کسی میتونست ببینه!
Lifeprint همون پرینتر کوچیک و بامزهست که میشه عکسها و GIFها رو مستقیم از گوشی (با اپ مخصوص آیفون و اندروید) براش فرستاد و پرینت گرفت – یا حتی واسه دوستت ارسال کنی تا رو پرینتر اونم پرینت بشه! جالب اینه که فقط نسخه اندروید Lifeprint بیشتر از ۱۰۰ هزار بار توی گوگل پلی دانلود شده بود.
کلاً حدود ۱۶۰۰۰۰۰ عکس با این سرویس پرینت گرفته شده و معلومه کلی آدم دنبالش بودن. اما مشکل چیه؟ مشکل این بود که یه سطل ذخیرهسازی آنلاینشون (اصطلاحاً storage bucket، جایی که فایلها تو فضای ابری ذخیره میشن) اشتباه کانفیگ شده بود و عملاً هر کسی میتونست سر بزنه و به فایلها دسترسی پیدا کنه!
تازه فاجعه به اینجا ختم نمیشه. از عکسها و اطلاعات شخصی مثل اسم کاربری، ایمیل و حتی آمار پرینتها که بگذریم، کلی فایل مهم دیگه هم لو رفته؛ مثلاً چند نسخه از نرمافزار داخلی یا همون firmware پرینتر. خب firmware همون برنامهایه که روی سختافزار دستگاه اجرا میشه و همه کاراشو کنترل میکنه. بدتر از همه اینکه داخل این فایلها، کلید رمزگذاری (encryption key) به صورت کاملاً واضح و بدون رمز هم افشا شده بود! این کلید دقیقاً اون چیزیه که معمولاً باید مخفی بمونه؛ چون باهاش میشه نسخه جعلی نرمافزار ساخت و مثل آپدیت واقعی روی دستگاه نصب کرد!
فرض کن هکرها با این کلید بیان یه firmware مخرب درست کنن و به راحتی روی دستگاههای مردم نصبش کنن. اینجوری میتونن حتی پرینترها رو هک کنن، برنامه خودشون رو اجرا کنن، یا پرینترها رو عضو شبکههای باتنت کنن (یعنی اون دستگاهها رو بیخبر تبدیل به ابزار اجرای حملههای دیگه کنن).
یکی از کارشناسان Cybernews گفته این داستان واقعاً مثالی از اینه که «چطور نباید با سیستمهای اینترنت اشیا (Internet of Things یا همون IoT، دستگاههایی که به اینترنت وصل میشن) کار کنی!» گفتن هر چی اشتباه امنیتی تصور کنی اینجا رخ داده: دادههای کاربران جدا نشده بودن، کلید رمزگذاری و فریمور همه کنار هم بودن، اصلاً محدودیت دسترسی رعایت نشده بود و عملاً حریم شخصی کاربرا به باد رفته!
اگه خودت یا اطرافیانت کاربر Lifeprint هستین، باید بدونین این نشت میتونه عواقب بدی داشته باشه. چون ترکیب اطلاعات شخصی و عکسها ممکنه باعث دزدی هویت (identity theft یعنی کسی خودش رو جای تو جا بزنه)، اذیت و آزار اینترنتی یا حتی افشای عمومی اطلاعات خصوصی (همون doxxing یا تهدید به اخاذی با عکسهای حساس یا خصوصی) بشه. حتی فکر کن عکسهای خیلی خصوصی یا صمیمی منتشر بشه، این ریسکها واقعاً جدیان.
جالبه که Cybernews رفته با شرکت مادر Lifeprint (C+A Global که تو نیوجرسی آمریکا هست) تماس گرفته ولی هنوز تا الان هیچ واکنشی یا توضیح رسمی ندادهان! اصلاً اولین بار این نشت رو اواخر جولای ۲۰۲۵ کشف کردن و تا الان هیچ خبر و عذرخواهیای نیومده.
در نهایت، اگه از این دستگاهها یا اپلیکیشنها استفاده میکنی، حتماً مراقب اطلاعات خصوصیات باش و قبل از آپلود یا به اشتراکگذاری هر چیزی، به امنیت و تنظیمات حریم شخصی توجه کن. مخصوصاً توی دنیای دیجیتال امروز که نشت دادهها داره هر روز بیشتر میشه!
منبع: +