Lightshot дает доступ к снимкам всем подряд

Не уверена, была ли эта тема освещена на данном сайте, я не пытаюсь делать рекламу или антирекламу, это просто небольшое предупреждение, потому что тема может быть серьезной.

Я копирайтер, пишу технические инструкции и обзоры на программы и сервисы. Недавно мне заказали рейтинг скриншотеров, среди которых, конечно, был Lightshot.

Так как в подобных обзорах требуется указывать плюсы и минусы рассматриваемых сервисов, а у Lightshot очевидных минусов нет (что может не нравиться в этом инструменте? Он практически идеальный), я начала читать отзывы в интернете. На иностранном форуме я нашла довольно серьезную тему: один из пользователей обнаружил, что ссылку к загружаемому на сервер Lightshot скрину можно легко угадать и даже открыть по ошибке.

Он загрузил свое фото, а когда набирал ссылку, ошибся в одной цифре. В итоге ему совершенно свободно открыли чей-то скрин с деловой перепиской.

Почему так происходит? Если вы пользовались этим сервисом, то заметили, что ссылка достаточно короткая и состоит из цифр и букв. Lightshot присваивает каждому скрину номер согласно последовательному порядку. То есть, если кто-то за секунду до вас отправил скрин и получил ссылку, которая оканчивается на 1wwm544, у вашего скрина она будет оканчиваться на 1wwm545.

Я сделала свой скрин для проверки, загрузила фото на сервер, получила ссылку и изменила в ней одну цифру. И вуаля - у меня перед глазами чужие пароли.

В общем, вся эта длинная преамбула ведет к краткому заключению: не загружайте на этот сервис важные файлы. Любой желающий может получить к ним доступ простым перебором клавиш. И да, я знаю, что хранить конфиденциальные данные в интернете - огромная глупость, но я лично знакома с людьми, которые таким образом делятся рабочей информацией с коллегами.

На этом все, спасибо, что пришли на мой TEDTalk.

33
10 комментариев

Ахуеть. Загружаешь на бесплатный сайт свои порнокартинки, а к ним дают доступ. Срочно запретить этот бесплатный сайт!

3
Ответить

Можешь даже клавиши не нажимать..
https://replit.com/@St4rG0ld/lightshot#main.py

1
Ответить

Блин реально работает

Ответить

спасибо за статью
с первой попытки выбил чей-то логин/пароль от криптобиржи (замазал я сам)
дыра конечно колоссальная

1
Ответить

Развод чистой воды! Давно не работает

Ответить

Комментарий недоступен

Ответить

Так "с коробки" он и сохраняет скрины локально

Ответить