Un grave incidente di sicurezza ha colpito Lifeprint, stampante fotografica portatile pensata per condividere ricordi direttamente da smartphone. Secondo una ricerca di Cybernews, oltre 8 milioni di file, tra cui 2 milioni di foto uniche e dati sensibili di più di 100.000 utenti, sono finiti esposti su Internet a causa di una configurazione errata di un bucket cloud. La società proprietaria, C+A Global, registrata nel New Jersey e attiva dal 2003, non ha ancora rilasciato alcuna dichiarazione ufficiale sulla vicenda. L’applicazione collegata alla stampante, scaricata più di 100.000 volte dal Google Play Store, è lo strumento utilizzato da tutti i clienti per stampare foto o GIF e condividerle con altri utenti.
Una falla nella configurazione del cloud
Gli esperti di Cybernews hanno individuato un bucket pubblico privo di autenticazione. Ciò ha permesso a chiunque, senza restrizioni, di accedere ai file conservati al suo interno. Oltre alle immagini personali, erano presenti file JSON e CSV contenenti metadati, indirizzi e-mail, nomi utente e statistiche di stampa. Dai dati emerge che gli utenti coinvolti hanno stampato complessivamente 1,6 milioni di foto. La portata del leak non riguarda solo la violazione della privacy, ma apre anche scenari più complessi legati alla sicurezza dei dispositivi stessi.
Il rischio di un takeover delle stampanti
Nella cartella cloud pubblica erano archiviati anche i firmware delle stampanti. All’interno dei file i ricercatori hanno trovato una chiave di cifratura RSA privata, lasciata in chiaro. Questo elemento annulla di fatto la protezione prevista per gli aggiornamenti del software.
Se le stampanti verificano la disponibilità di aggiornamenti direttamente dal bucket, un attaccante potrebbe creare un firmware malevolo firmato con la chiave esposta. In questo modo, i dispositivi potrebbero installare automaticamente software compromesso, trasformandosi in strumenti di attacco o entrando a far parte di botnet.
Perché il leak è grave
La fuga di dati rappresenta un rischio immediato per gli utenti, sia dal punto di vista della privacy sia della sicurezza personale. Le foto private, molte delle quali potenzialmente intime, sono finite accessibili a chiunque. I dati personali possono inoltre alimentare casi di furto d’identità, doxxing o molestie. Secondo i ricercatori, l’incidente è “un esempio da manuale di cattiva gestione dell’infrastruttura IoT”, con errori che vanno dalla mancata segmentazione dei dati all’esposizione delle chiavi crittografiche. Una combinazione che mette in evidenza gravi carenze nei processi di sicurezza dell’azienda.
Nessuna risposta dall’azienda
Cybernews ha contattato Lifeprint e C+A Global per ottenere chiarimenti, ma al momento non è arrivata alcuna risposta ufficiale. Anche il coinvolgimento del CERT, avvenuto ad agosto, non sembra aver accelerato la reazione della società. Il silenzio lascia aperti molti interrogativi sul futuro dei dispositivi già in commercio e sulla gestione dei dati archiviati. Per gli utenti, resta la consapevolezza che una stampante fotografica pensata per custodire ricordi personali si è trasformata, paradossalmente, in una minaccia per la loro stessa privacy.
Aiutaci a crescere: lasciaci un like :)