Una empresa que fabrica fotomatones está exponiendo fotografías y vídeos de sus clientes en línea gracias a un simple fallo en su sitio web donde se almacenan los archivos, según un investigador de seguridad.
El investigador, que se hace llamar Zeacer, alertó a TechCrunch sobre el problema de seguridad a finales de noviembre después de informar la vulnerabilidad en octubre a Película Hamael fabricante de fotomatones que tiene presencia en franquicia en Australia, el Emiratos Árabes Unidosy el Estados Unidospero no recibió respuesta.
Zeacer compartió con TechCrunch una muestra de fotografías tomadas desde los servidores de Hama Film, que mostraban grupos de personas claramente jóvenes posando en fotomatones. Los stands de Hama Film no sólo imprimen las fotografías como un típico fotomatón, sino que también cargan las fotos de los clientes en los servidores de la empresa.
Vibecast, propietaria de Hama Film, aún no ha respondido a sus mensajes alertando a la empresa sobre los problemas. Vibecast tampoco respondió a varias solicitudes de comentarios de TechCrunch, ni el cofundador de Vibecast, Joel Park, respondió a un mensaje que enviamos a través de LinkedIn.
Hasta el viernes, el investigador dijo que la compañía aún no había resuelto completamente la falla de seguridad y continúa exponiendo los datos de los clientes. Como tal, TechCrunch no publica detalles específicos de la vulnerabilidad.
Cuando Zeacer encontró esta falla por primera vez, notó que parecía que las fotos se eliminaban de los servidores del fabricante del fotomatón cada dos o tres semanas.
Ahora, dijo, las imágenes almacenadas en los servidores parecen borrarse después de 24 horas, lo que limita la cantidad de imágenes expuestas en un momento dado. Pero un pirata informático aún podría explotar la vulnerabilidad que descubre cada día y descargar el contenido de cada foto y vídeo en el servidor.
Evento tecnológico
san francisco
|
13-15 de octubre de 2026
Antes de esta semana, Zeacer dijo que en un momento vio más de 1.000 fotografías en línea de los stands de Hama Film en Melbourne.
Este incidente es el último ejemplo de una empresa que, al menos durante un tiempo, no estaba implementando ciertas prácticas de seguridad básicas y ampliamente aceptadas, como la limitación de tasas. El mes pasado, TechCrunch informó que el gigante contratista gubernamental Tyler Technologies no estaba limitando las tarifas de sus sitios web utilizados para permitir que los tribunales administren la información personal de sus jurados. Esto significaba que cualquiera podía acceder al perfil de cualquier miembro del jurado ejecutando un script de computadora capaz de adivinar en masa su fecha de nacimiento y su identificador numérico fácil de adivinar.
