Инструмент для создания скриншотов LightShot, также позволяющий делиться созданными изображениями в виде ссылки, оказался уязвим к очень простому перебору URL. Как написал обнаруживший проблему Александр Вайнраух, если заменить всего одну букву в URL, которую формирует сервис, то можно увидеть скриншот другого пользователя.
Посторонние могут увидеть все, чем вы поделились
Для проверки уязвимости был создан тестовый скриншот со ссылкой https://prnt.sc/1reembt. Если последнюю букву «t» в этой ссылке заменить на «b», то по новому URL https://prnt.sc/1reembb мы сможем увидеть совершенно другое изображение, загруженное другим пользователем.
Редакция AIN.UA также провела тесты сервиса и оказалось, что можно заменять один или сразу несколько символов и почти наверняка увидеть чужой скриншот, в котором может содержаться что угодно: от данных криптовалютных кошельков и личных переписок до обычных картинок.
Мошенники уже пользуются этой уязвимостью
Кто-то наделал сотни тысяч фейковых скриншотов с данными входа в криптовалютные кошельки. Суть мошеннических действий состоит в том, что пользователь, который ради интереса начнет перебирать ссылки, как бы случайно наткнется на логин/пароль выхода и попробует снять с него криптовалюту.
«Оказывается, кто-то наделал сотни тысяч таких фейковых скриншотов, чтобы ты «случайно» попался на них. И ждёт, когда ты начнёшь выводить чьи-то битки, заплатишь комиссию и …. Абсолютно верно. Заплатишь комиссию, попадёшь на бабло и никаких битков не получишь. Под это дело даже сайтец пошурику сделали», — написал Вайнраух.
Альтернативы LightShot
Кроме очевидной необходимости отказаться от отправки важной информации встроенными в LightShot инструментами можно просто перейти на другие сервисы, которые предлагают те же возможности, но используют более длинные и сложные URL.
Лучшими альтернативами станут утилиты Monosnap и PicPick. Они имеют даже большие возможности, чем LightShot. Кроме создания снимков всего экрана, активного окна, окна с прокруткой и любой конкретной области вашего рабочего стола, они также имеют достаточно продвинутый графический редактор и условно безопасный шеринг изображений.
Источник: ain.ua