Сервис LightShot позволяет увидеть скриншоты других пользователей

7017
3

Инструмент для создания скриншотов LightShot, также позволяющий делиться созданными изображениями в виде ссылки, оказался уязвим к очень простому перебору URL. Как написал обнаруживший проблему Александр Вайнраух, если заменить всего одну букву в URL, которую формирует сервис, то можно увидеть скриншот другого пользователя.

Посторонние могут увидеть все, чем вы поделились

Скриншот: LightShot

Для проверки уязвимости был создан тестовый скриншот со ссылкой https://prnt.sc/1reembt. Если последнюю букву «t» в этой ссылке заменить на «b», то по новому URL https://prnt.sc/1reembb мы сможем увидеть совершенно другое изображение, загруженное другим пользователем.

Редакция AIN.UA также провела тесты сервиса и оказалось, что можно заменять один или сразу несколько символов и почти наверняка увидеть чужой скриншот, в котором может содержаться что угодно: от данных криптовалютных кошельков и личных переписок до обычных картинок.

Мошенники уже пользуются этой уязвимостью

Скриншот: LightShot

Кто-то наделал сотни тысяч фейковых скриншотов с данными входа в криптовалютные кошельки. Суть мошеннических действий состоит в том, что пользователь, который ради интереса начнет перебирать ссылки, как бы случайно наткнется на логин/пароль выхода и попробует снять с него криптовалюту.

«Оказывается, кто-то наделал сотни тысяч таких фейковых скриншотов, чтобы ты «случайно» попался на них. И ждёт, когда ты начнёшь выводить чьи-то битки, заплатишь комиссию и …. Абсолютно верно. Заплатишь комиссию, попадёшь на бабло и никаких битков не получишь. Под это дело даже сайтец пошурику сделали», — написал Вайнраух.

Альтернативы LightShot

Скриншот: Monosnap

Кроме очевидной необходимости отказаться от отправки важной информации встроенными в LightShot инструментами можно просто перейти на другие сервисы, которые предлагают те же возможности, но используют более длинные и сложные URL.

Лучшими альтернативами станут утилиты Monosnap и PicPick. Они имеют даже большие возможности, чем LightShot. Кроме создания снимков всего экрана, активного окна, окна с прокруткой и любой конкретной области вашего рабочего стола, они также имеют достаточно продвинутый графический редактор и условно безопасный шеринг изображений.

Оставить комментарий

Комментарии | 3

  • Про эту особенность лайтшота все знали года с 2015, но спасибо что донесли до четырех человек, которые еще не слышали.

  • Жесть, в альтернативах другое платное гавно показывать, и не показать лучшее open source для скриншотов https://getsharex.com

  • AIN кончено молоды, но лайтшот юзает несуществующие линки для вывода типа скриншота с аккаунтами для развода лохов, что они введут логин, пароль и заюзают площадку для вывода средств. И скришоты со статьи взяты даже не проверив, если ты попытаетесь вбить хотябы с пару десятков разных несуществующих линков, то увидите, что скриншоты с якобы паролями — повторяются. Но дыра конечно знатная.

Поиск