La popular aplicación de impresión de fotos PhotoSquared ha expuesto miles de fotos de clientes, direcciones y detalles de pedidos.
Al menos 10,000 etiquetas de envío se almacenaron en un depósito de almacenamiento público de Amazon Web Services (AWS). No había contraseña en el bucket, lo que permitía a cualquiera que conociera la dirección web fácil de adivinar el acceso a los datos del cliente. Con demasiada frecuencia, estos depósitos de almacenamiento de AWS están mal configurados y configurados como "públicos" y no "privados".
Los datos expuestos incluían fotos de alta resolución cargadas por el usuario y etiquetas de envío generadas, que datan de 2016, y se actualizaban día a día. La aplicación tiene más de 100,000 usuarios, según su Google Play listado.
No se sabe cuánto tiempo se dejó abierto el depósito de almacenamiento.
Uno de los pedidos del cliente, incluidas las fotos y la dirección de envío del cliente. El cubo de almacenamiento expuesto también tenía miles de etiquetas de envío. (Imagen: TechCrunch)
Investigadores de seguridad previsto El nombre del cubo expuesto a TechCrunch. Comparamos una serie de etiquetas de envío con los registros públicos existentes, y contactamos a PhotoSquared el miércoles para advertir sobre la exposición.
Keith Miller, director ejecutivo de Strategic Factory, propietario de PhotoSquared, confirmó que los datos ya no estaban expuestos; sin embargo, Miller declinó decir si planeaba informar a los clientes o reguladores bajo las leyes de notificación de violación de datos.
Al momento de escribir este artículo, PhotoSquared no ha hecho referencia al lapso de seguridad en su sitio web o sus cuentas de redes sociales.