Внезапно

Популярное приложение для скриншотов Lightshot легко взломать. И найти там любую картинку

6 марта 2020 в 15:07
В популярном раньше инструменте для скриншотов Lightshot нашлась довольно серьезная уязвимость: кто угодно можно случайно посмотреть вообще любой скриншот. Коротко объясняем суть проблемы.

Что это за программа

Lightshot — сторонний инструмент для macOS и Windows, чтобы делиться скриншотами, который был популярен в начале и середине 2010-х. На сайт prntscr.com, на котором хранятся картинки, до сих пор заходят 2 миллиона человек в месяц.

Он работает таким образом: нажимаете комбинацию горячих клавиш, выбираете область экрана, из которой хотите сделать скриншот, загружаете ее на сайт. После этого Lightshot выдает короткую ссылку с картинкой, которую можно отправить друзьям.

Как взломать Lightshot

Ссылки с вашими скриншотами может открыть вообще кто угодно, они никак не защищены и не скрыты от чужих глаз. Lightshot выдавал и выдает ссылки нескольких видов: например, prnt.sc/две латинские буквы и четыре цифры или prnt.sc/две латинские буквы, цифра, еще три буквы, или prnt.sc/две латинские буквы, цифра, две буквы и еще цифра, или prnt.sc/пять латинских букв и цифра.

Достаточно набрать в адресной строке браузера любую из этих комбинаций с любыми значениями, например prnt.sc/rcimx9, и вы найдете чей‑то скриншот.

Собственно, в чем проблема

За 20 минут и с помощью обычного перебора цифр «Афиша Daily» нашла скриншоты с таблицей звонков менеджеров по продажам, таблицей с адресами электронной почты, письмо с восстановлением пароля, личные переписки о травле в школе, данные для удаленного управления компьютером и так далее. Если вы когда‑то отправляли кому‑то личную информацию с помощью Lightshot, скорее всего, она доступна любому.

Это не новая проблема. В конце 2018 года о ней несколько раз писали на Reddit. После этого ничего не изменилось и вряд ли изменится, потому что тогда разработчикам придется полностью переделать приложение. Сейчас на уязвимость обратили внимание в тиктоке — ролик пользовательницы, которая в начале этого года обнаружила эту особенность, набрал 840 тысяч просмотров. Она очень удивилась такой возможности.

Что делать, если у меня был Lightshot

Мы не рекомендуем пользоваться Lightshot, особенно для скриншотов с личной информацией: картами, переписками, адресами, именами, паролями.

Скриншот можно сделать и без стороннего приложения: в Windows — Windows+Shift+S (картинка сохранится в буфере обмена, она вставляется в переписку помощью Ctrl+V), в macOS — Cmnd+Shift+4 (картинка сохранится на рабочем столе).

Как удалить свой скриншот из Lightshot

Поищите по своим перепискам в социальных сетях фразу «prnt.sc». Если что‑то найдется, перейдите по ссылке и пожалуйтесь на личную информацию: Report abuse — Personal information. Вероятно, после этого скриншот удалят. Если вы регистрировались в приложении, то найдете скриншоты в профиле.

Расскажите друзьям
Читайте также