TechCrunch rapporte qu’un chercheur, « Zeacer », a découvert une faille web chez Hama Film (marque de Vibecast) permettant à « n’importe qui » de télécharger les photos et vidéos de clients mises en ligne par les bornes photo de l’entreprise.
-
Nature de l’incident : exposition de données clients (photos/vidéos) due à une faille simple sur le site où les fichiers sont stockés, rendant les contenus accessibles et téléchargeables par des tiers 🔓🖼️.
-
Impact observé : des groupes de jeunes apparaissent dans des clichés extraits des serveurs ; plus de 1 000 photos ont été vues en ligne pour les bornes de Melbourne à un moment donné.
-
Chronologie : Zeacer signale la vulnérabilité à Hama Film en octobre. Sans réponse, il alerte TechCrunch fin novembre. Au vendredi précédant la publication, la faille n’était pas entièrement corrigée.
-
Réponse de l’entreprise : Vibecast (propriétaire de Hama Film) n’a pas répondu aux messages du chercheur ni aux demandes de commentaires de TechCrunch. Les photos, auparavant conservées 2–3 semaines, semblent désormais supprimées après 24 h, limitant le volume exposé à un instant donné mais pas la possibilité d’exfiltration quotidienne.
-
Pratiques de sécurité : l’affaire illustre l’absence, au moins temporaire, de mesures de base telles que le rate-limiting. TechCrunch rappelle un cas analogue récent (Tyler Technologies) où le manque de rate-limiting a permis des attaques par scripts.
-
Géographie et périmètre : Hama Film opère via des franchises en Australie, Émirats arabes unis et États-Unis ; les contenus sont uploadés vers les serveurs de l’entreprise.
IOCs et TTPs
- IOCs : aucun divulgué.
- TTPs :
- Exploitation d’une faille web sur l’endroit où les fichiers sont stockés (détails non publiés).
- Téléchargement non autorisé de médias clients.
- Manque de rate-limiting facilitant l’automatisation de l’extraction.
Il s’agit d’un article de presse spécialisé visant principalement à informer sur une exposition de données en cours et à documenter l’absence de correctif complet au moment des faits.
🔗 Source originale : https://techcrunch.com/2025/12/12/flaw-in-photo-booth-makers-website-exposes-customers-pictures/