Een bedrijf dat photobooths maakt, zet foto’s en video’s van zijn klanten online dankzij een simpele fout op de website waar de bestanden zijn opgeslagen, aldus een beveiligingsonderzoeker.
De onderzoeker, die Zeacer heet, waarschuwde TechCrunch eind november voor het beveiligingsprobleem nadat hij de kwetsbaarheid in oktober had gemeld aan Hamfilmde fabrikant van fotohokjes met een franchise-aanwezigheid in Australië, de Verenigde Arabische EmiratenEn VSmaar hoorde niets terug.
Zeacer deelde met TechCrunch een voorbeeld van afbeeldingen afkomstig van de servers van Hama Film, waarop groepen duidelijk jonge mensen te zien waren die poseerden in fotohokjes. De cabines van Hama Film drukken de afbeeldingen niet alleen af zoals een typische fotocabine, maar de cabines uploaden ook de foto’s van de klanten naar de servers van het bedrijf.
Vibecast, eigenaar van Hama Film, heeft nog niet gereageerd op zijn berichten waarin het bedrijf op de problemen werd gewezen. Vibecast reageerde ook niet op meerdere verzoeken om commentaar van TechCrunch, en mede-oprichter van Vibecast Joel Park reageerde ook niet op een bericht dat we via Linkedin stuurden.
Vrijdag zei de onderzoeker dat het bedrijf het beveiligingslek nog steeds niet volledig heeft opgelost en nog steeds de gegevens van klanten openbaar maakt. Daarom houdt TechCrunch specifieke details over de kwetsbaarheid achter voor publicatie.
Toen Zeacer deze bug voor het eerst ontdekte, merkte hij dat het leek alsof foto’s elke twee tot drie weken van de servers van de photobooth-maker werden verwijderd.
Nu, zo zei hij, lijken de op de servers opgeslagen afbeeldingen na 24 uur te zijn verwijderd, waardoor het aantal afbeeldingen dat op een bepaald moment kan worden weergegeven, wordt beperkt. Maar een hacker kan nog steeds misbruik maken van de kwetsbaarheid die hij elke dag ontdekt en de inhoud van elke foto en video op de server downloaden.
Techcrunch-evenement
San Francisco
|
13.-15. Oktober 2026
Vóór deze week zei Zeacer dat hij op een gegeven moment meer dan 1.000 afbeeldingen online had gezien voor de stands van Hama Film in Melbourne.
Dit incident is het nieuwste voorbeeld van een bedrijf dat, althans gedurende een bepaalde periode, bepaalde fundamentele en algemeen aanvaarde beveiligingspraktijken, zoals tariefbeperking, niet heeft geïmplementeerd. Vorige maand, TechCrunch meldde dat overheidsaanbestedingsgigant Tyler Technologies was niet beperkend op de websites die rechtbanken gebruikten om de persoonlijke gegevens van hun juryleden te beheren. Dit betekende dat iedereen in het profiel van een jurylid kon inbreken door een computerscript uit te voeren dat in staat was om massaal hun geboortedatum en hun gemakkelijk te raden numerieke identificatie te raden.
