2 млн личных фото и ключ от прошивки: портативные принтеры превратили пользователей в лёгкую добычу

leer en español

Lifeprint C+A Global Cybernews IoT утечка данных прошивка ботнет
2 млн личных фото и ключ от прошивки: портативные принтеры превратили пользователей в лёгкую добычу
Lifeprint C+A Global Cybernews IoT утечка данных прошивка ботнет

Утекли снимки, имена, ключи... что на это скажет компания  Lifeprint?

image

Команда Cybernews обнаружила масштабную утечку данных пользователей портативных фотопринтеров Lifeprint. Эти устройства, выпускаемые компанией C+A Global, позволяют мгновенно распечатывать изображения прямо со смартфонов на базе iOS и Android. Однако вместо того, чтобы хранить тёплые воспоминания в безопасности, сервис выставил на всеобщее обозрение более 8 миллионов файлов — включая 2 миллиона уникальных фотографий, списки пользователей, адреса электронной почты и даже статистику печати.

Причиной утечки стал неправильно сконфигурированный облачный бакет — он не требовал никакой авторизации, поэтому получить доступ к данным мог любой пользователь интернета. Среди открытых файлов оказались не только изображения, но и экспортированные данные в форматах JSON и CSV, содержащие приватную информацию более чем о 100 000 пользователях. В метаданных также сохранилась статистика: суммарно владельцы Lifeprint распечатали 1,6 миллиона фото.

На этом проблемы не заканчиваются. В той же публичной директории исследователи нашли несколько прошивок принтера, а вместе с ними — и закрытый ключ RSA, лежащий в открытом виде. Этот ключ, судя по всему, использовался для подписи обновлений прошивки. Таким образом, потенциальный злоумышленник мог бы создать вредоносную прошивку, подписать её этим ключом и подменить оригинальные файлы на сервере. Если принтеры автоматически проверяют бакет на наличие новых прошивок, такой сценарий может позволить атакующим загрузить на устройства вредоносный код, захватить управление или даже включить их в ботнет.

Исследователи подчёркивают, что ситуация представляет реальную угрозу безопасности пользователей, включая риски утечек личных и интимных фотографий, кражи личности, травли или даже доксинга. Также под вопросом надёжность самой IoT-инфраструктуры: хранение криптографических ключей рядом с прошивкой, отсутствие изоляции пользовательских данных и полное отсутствие контроля доступа — классический антипаттерн.

Cybernews передали информацию производителю, но ответа пока не последовало. Утечка была впервые зафиксирована 28 июля 2025 года, сообщение компании отправлено на следующий день, а уведомление в CERT — 6 августа. Ни одного публичного комментария от C+A Global на момент публикации не поступало.