لو رفتن عکس‌ها و اطلاعات میلیون‌ها کاربر اپلیکیشن Lifeprint؛ اتفاقی که شوخی‌بردار نیست!

ببین چی شده! اگه تا حالا از پرینتر قابل حمل Lifeprint استفاده کردی یا حداقل اسمش به گوشت خورده، لازمه بدونی که اخیراً یه نشت بزرگ اطلاعاتی اتفاق افتاده که کلی عکس و اطلاعات خصوصی از کاربرا لو رفته. ماجرا اینجوریه که چندتا محقق امنیتی از سایت Cybernews فهمیدن که بیش از ۸ میلیون فایل (از جمله حدود ۲ میلیون عکس شخصی) و کلی اطلاعات حساس بدون هیچ رمز و امنیتی روی اینترنت قرار گرفته بوده! یعنی کافی بود آدرس رو بدونی و هر کسی میتونست ببینه!

Lifeprint همون پرینتر کوچیک و بامزه‌ست که میشه عکس‌ها و GIFها رو مستقیم از گوشی (با اپ مخصوص آیفون و اندروید) براش فرستاد و پرینت گرفت – یا حتی واسه دوستت ارسال کنی تا رو پرینتر اونم پرینت بشه! جالب اینه که فقط نسخه اندروید Lifeprint بیشتر از ۱۰۰ هزار بار توی گوگل پلی دانلود شده بود.

کلاً حدود ۱۶۰۰۰۰۰ عکس با این سرویس پرینت گرفته شده و معلومه کلی آدم دنبالش بودن. اما مشکل چیه؟ مشکل این بود که یه سطل ذخیره‌سازی آنلاین‌شون (اصطلاحاً storage bucket، جایی که فایل‌ها تو فضای ابری ذخیره میشن) اشتباه کانفیگ شده بود و عملاً هر کسی میتونست سر بزنه و به فایل‌ها دسترسی پیدا کنه!

تازه فاجعه به اینجا ختم نمیشه. از عکس‌ها و اطلاعات شخصی مثل اسم کاربری، ایمیل و حتی آمار پرینت‌ها که بگذریم، کلی فایل مهم دیگه هم لو رفته؛ مثلاً چند نسخه از نرم‌افزار داخلی یا همون firmware پرینتر. خب firmware همون برنامه‌ایه که روی سخت‌افزار دستگاه اجرا میشه و همه کاراشو کنترل می‌کنه. بدتر از همه اینکه داخل این فایل‌ها، کلید رمزگذاری (encryption key) به صورت کاملاً واضح و بدون رمز هم افشا شده بود! این کلید دقیقاً اون چیزیه که معمولاً باید مخفی بمونه؛ چون باهاش میشه نسخه جعلی نرم‌افزار ساخت و مثل آپدیت واقعی روی دستگاه نصب کرد!

فرض کن هکرها با این کلید بیان یه firmware مخرب درست کنن و به راحتی روی دستگاه‌های مردم نصبش کنن. اینجوری می‌تونن حتی پرینترها رو هک کنن، برنامه خودشون رو اجرا کنن، یا پرینترها رو عضو شبکه‌های بات‌نت کنن (یعنی اون دستگاه‌ها رو بی‌خبر تبدیل به ابزار اجرای حمله‌های دیگه کنن).

یکی از کارشناسان Cybernews گفته این داستان واقعاً مثالی از اینه که «چطور نباید با سیستم‌های اینترنت اشیا (Internet of Things یا همون IoT، دستگاه‌هایی که به اینترنت وصل میشن) کار کنی!» گفتن هر چی اشتباه امنیتی تصور کنی اینجا رخ داده: داده‌های کاربران جدا نشده بودن، کلید رمزگذاری و فریمور همه کنار هم بودن، اصلاً محدودیت دسترسی رعایت نشده بود و عملاً حریم شخصی کاربرا به باد رفته!

اگه خودت یا اطرافیانت کاربر Lifeprint هستین، باید بدونین این نشت می‌تونه عواقب بدی داشته باشه. چون ترکیب اطلاعات شخصی و عکس‌ها ممکنه باعث دزدی هویت (identity theft یعنی کسی خودش رو جای تو جا بزنه)، اذیت و آزار اینترنتی یا حتی افشای عمومی اطلاعات خصوصی (همون doxxing یا تهدید به اخاذی با عکس‌های حساس یا خصوصی) بشه. حتی فکر کن عکس‌های خیلی خصوصی یا صمیمی منتشر بشه، این ریسک‌ها واقعاً جدی‌ان.

جالبه که Cybernews رفته با شرکت مادر Lifeprint (C+A Global که تو نیوجرسی آمریکا هست) تماس گرفته ولی هنوز تا الان هیچ واکنشی یا توضیح رسمی نداده‌ان! اصلاً اولین بار این نشت رو اواخر جولای ۲۰۲۵ کشف کردن و تا الان هیچ خبر و عذرخواهی‌ای نیومده.

در نهایت، اگه از این دستگاه‌ها یا اپلیکیشن‌ها استفاده می‌کنی، حتماً مراقب اطلاعات خصوصی‌ات باش و قبل از آپلود یا به اشتراک‌گذاری هر چیزی، به امنیت و تنظیمات حریم شخصی توجه کن. مخصوصاً توی دنیای دیجیتال امروز که نشت داده‌ها داره هر روز بیشتر میشه!

منبع: +