Resumo
- Uma falha de segurança no armazenamento digital da Hama Film expôs fotos e vídeos de clientes, permitindo acesso público sem autenticação.
- O pesquisador Zeacer alertou a Hama Film sobre o problema em outubro, mas não obteve resposta; a falha ainda não foi corrigida.
- A exposição de dados reflete a falta de medidas básicas de segurança, como o rate limiting, em sistemas que lidam com informações sensíveis.
Uma empresa que fabrica cabines fotográficas deixou imagens e vídeos de clientes acessíveis na internet por causa de uma falha simples no armazenamento de arquivos. O caso foi revelado por um pesquisador de segurança e se soma a uma série de episódios recentes que levantam preocupações sobre como empresas lidam com dados sensíveis no ambiente digital.
O pesquisador, conhecido como Zeacer, informou ter alertado a Hama Film — fabricante das cabines — ainda em outubro, sem obter resposta. A empresa atua por meio de franquias em países como Austrália, Emirados Árabes Unidos e Estados Unidos. O caso ganhou visibilidade após o pesquisador compartilhar detalhes com o TechCrunch no fim de novembro.
O tema dialoga com um debate mais amplo sobre confiança e controle da informação online, intensificado após experimentos de grandes plataformas com inteligência artificial e distribuição de conteúdo. Em comum, está a dificuldade de garantir transparência e segurança em sistemas que lidam com dados de usuários em larga escala.
Como a falha permitia o acesso às imagens?
Segundo o relato, as cabines da Hama Film não apenas imprimem as fotos tiradas pelos clientes, como também enviam esses arquivos para servidores da empresa. O problema estava na forma como esse conteúdo era armazenado e disponibilizado no site, o que permitia que terceiros visualizassem fotos e vídeos sem qualquer tipo de autenticação.
Zeacer compartilhou amostras que em que grupos de jovens posavam nas cabines, indicando que usuários comuns tiveram suas imagens expostas. A empresa controladora da Hama Film, a Vibecast, não respondeu aos alertas enviados pelo pesquisador nem aos pedidos de comentário feitos pela imprensa. O cofundador da Vibecast, Joel Park, também não retornou contatos feitos por redes profissionais.
Até a última atualização do caso, a falha não havia sido totalmente corrigida. Por esse motivo, detalhes técnicos específicos não foram divulgados, para evitar exploração adicional do problema.
Por que esse tipo de exposição ainda acontece?
Inicialmente, o pesquisador observou que as imagens pareciam ser apagadas dos servidores a cada duas ou três semanas. Mais recentemente, o período de retenção teria sido reduzido para cerca de 24 horas, o que limita a quantidade de arquivos expostos em um dado momento. Ainda assim, a vulnerabilidade permitiria que alguém explorasse o acesso diariamente e baixasse todo o conteúdo disponível.
Em determinado momento, mais de mil imagens relacionadas a cabines da Hama Film em Melbourne teriam ficado acessíveis online. O episódio ilustra a ausência de medidas básicas e amplamente adotadas de segurança, como o rate limiting, que dificulta acessos automatizados em massa.
Casos semelhantes já atingiram outras empresas, inclusive em setores sensíveis, mostrando que falhas simples continuam sendo um vetor recorrente de exposição de dados pessoais.
Cabine fotográfica expõe imagens de clientes por falha de segurança
