Uma empresa que fabrica cabines fotográficas está expondo fotos e vídeos de seus clientes online graças a uma simples falha em seu site onde os arquivos estão armazenados, segundo um pesquisador de segurança.
O pesquisador, que atende por Zeacer, alertou o TechCrunch sobre o problema de segurança no final de novembro, após relatar a vulnerabilidade em outubro à Hama Film, fabricante de cabines fotográficas que tem presença de franquia na Austrália, nos Emirados Árabes Unidos e nos Estados Unidos, mas não recebeu resposta.
Zeacer compartilhou com o TechCrunch uma amostra de fotos tiradas dos servidores da Hama Film, que mostravam grupos de jovens posando em cabines fotográficas. Os estandes da Hama Film não apenas imprimem as fotos como uma típica cabine fotográfica, mas também carregam as fotos dos clientes nos servidores da empresa.
A Vibecast, dona da Hama Film, ainda não respondeu às suas mensagens alertando a empresa sobre os problemas. O Vibecast também não respondeu a vários pedidos de comentários do TechCrunch, nem o cofundador do Vibecast, Joel Park, respondeu a uma mensagem que enviamos via Linkedin.
Na sexta-feira, o pesquisador disse que a empresa ainda não resolveu totalmente a falha de segurança e continua expondo os dados dos clientes. Como tal, o TechCrunch está ocultando detalhes específicos da vulnerabilidade da publicação.
Quando Zeacer encontrou essa falha pela primeira vez, ele notou que parecia que as fotos eram excluídas dos servidores do fabricante da cabine fotográfica a cada duas ou três semanas.
Agora, disse ele, as fotos armazenadas nos servidores parecem ser excluídas após 24 horas, o que limita o número de fotos expostas a qualquer momento. Mas um hacker ainda pode explorar a vulnerabilidade que descobre todos os dias e baixar o conteúdo de todas as fotos e vídeos do servidor.
Evento Techcrunch
São Francisco
|
13 a 15 de outubro de 2026
Antes desta semana, Zeacer disse que viu mais de 1.000 fotos online dos estandes da Hama Film em Melbourne.
Este incidente é o exemplo mais recente de uma empresa que, pelo menos durante algum tempo, não implementou certas práticas de segurança básicas e amplamente aceites, como a limitação de taxas. No mês passado, o TechCrunch informou que a gigante empreiteira governamental Tyler Technologies não estava limitando a taxa de seus sites usados para permitir que os tribunais gerenciassem as informações pessoais de seus jurados. Isso significava que qualquer pessoa poderia invadir o perfil de qualquer jurado executando um script de computador capaz de adivinhar em massa sua data de nascimento e seu identificador numérico fácil de adivinhar.
