Инструмент для создания скриншотов LightShot, также позволяющий делиться созданными изображениями в виде ссылки, оказался уязвим к очень простому перебору URL. Как написал обнаруживший проблему Александр Вайнраух, если заменить всего одну букву в URL, которую формирует сервис, то можно увидеть скриншот другого пользователя.
Посторонние могут увидеть все, чем вы поделились
https://s3.eu-central-1.amazonaws.com/media.my.ua/feed/43/5184a47e757cfe0e8001a94939a04e27.png
Скриншот: LightShot
Для проверки уязвимости был создан тестовый скриншот со ссылкой https://prnt.sc/1reembt. Если последнюю букву «t» в этой ссылке заменить на «b», то по новому URL https://prnt.sc/1reembb мы сможем увидеть совершенно другое изображение, загруженное другим пользователем.
Редакция AIN.UA также провела тесты сервиса и оказалось, что можно заменять один или сразу несколько символов и почти наверняка увидеть чужой скриншот, в котором может содержаться что угодно: от данных криптовалютных кошельков и личных переписок до обычных картинок.
Мошенники уже пользуются этой уязвимостью
Скриншот: LightShot
Кто-то наделал сотни тысяч фейковых скриншотов с данными входа в криптовалютные кошельки. Суть мошеннических действий состоит в том, что пользователь, который ради интереса начнет перебирать ссылки, как бы случайно наткнется на логин/пароль выхода и попробует снять с него криптовалюту.
«Оказывается, кто-то наделал сотни тысяч таких фейковых скриншотов, чтобы ты «случайно» попался на них. И ждёт, когда ты начнёшь выводить чьи-то битки, заплатишь комиссию и …. Абсолютно верно. Заплатишь комиссию, попадёшь на бабло и никаких битков не получишь. Под это дело даже сайтец пошурику сделали», — написал Вайнраух.
Альтернативы LightShot
https://s3.eu-central-1.amazonaws.com/media.my.ua/feed/43/46570acf5c66aa52e1584f146cfe4beb.png
Скриншот: Monosnap
Кроме очевидной необходимости отказаться от отправки важной информации встроенными в LightShot инструментами можно просто перейти на другие сервисы, которые предлагают те же возможности, но используют более длинные и сложные URL.
Лучшими альтернативами станут утилиты Monosnap и PicPick. Они имеют даже большие возможности, чем LightShot. Кроме создания снимков всего экрана, активного окна, окна с прокруткой и любой конкретной области вашего рабочего стола, они также имеют достаточно продвинутый графический редактор и условно безопасный шеринг изображений.
Читайте также:
Prozorro обещает «белым» хакерам до $1000 за найденные уязвимости
ФБР удаленно взламывает сотни компьютеров, чтобы защитить их от уязвимости Microsoft Exchange Server
Хакеры атаковали 60 000 компаний через уязвимость Microsoft. Это уже назвали «глобальной угрозой кибербезопасности»