Los investigadores de seguridad revelan una filtración de la aplicación LifePrint que dejó 8 millones de archivos, incluidas imágenes personales y claves de cifrado, abiertas para la explotación de los atacantes
- LifePrint App Leak expuso 2 millones de fotos privadas e información del usuario
- El almacenamiento mal configurado también reveló claves de firmware creando riesgo de secuestros de impresoras maliciosas
- Los usuarios enfrentan amenazas de chantaje, robo de identidad y acoso de datos expuestos
Un gran incidente de privacidad ha expuesto millones de fotos privadas de Espíritu de vidaun sistema de impresora fotográfica portátil.
La fuga, descubierta por investigadores en Cybernewsreveló más de 8 millones de archivos, incluidas 2 millones de fotos únicas, que estaban accesibles sin autenticación.
LifePrint es producido por C+A Global, una compañía de Nueva Jersey fundada en 2003, que permite a los usuarios enviar imágenes y GIF directamente de un teléfono inteligente a un dispositivo conectado, o incluso a la impresora de un amigo a través de una aplicación para iOS y Android, y la versión de Android de la aplicación se ha descargado más de 100,000 veces activa. Google Play.
Más de 1.6 millones de fotos impresas
Según los investigadores, la fuga fue causada por un cubo de almacenamiento mal configurado que dejó archivos sensibles expuestos a cualquier persona en línea.
Los datos expuestos incluyeron nombres de usuario, direcciones de correo electrónico y estadísticas de impresión para más de 100,000 usuarios.
Los metadatos indicaron que la comunidad ha imprimido más de 1.6 millones de fotos.
Desafortunadamente, los problemas de seguridad fueron mucho más allá de las imágenes filtradas, ya que múltiples versiones del firmware de LifePrint también se dejaron en el mismo cubo público y enterrado en esos archivos había una clave de cifrado privado en texto sin formato, utilizada para firmar actualizaciones de firmware.
Con esta clave, los atacantes podrían crear un firmware malicioso y distribuirlo como una actualización legítima.
Ese escenario, si sucede, podría permitir a los piratas informáticos secuestrar impresoras, ejecutar su propio código o incluso doblar los dispositivos en Botnets.
“Este es un ejemplo de libro de texto de qué no hacer con la infraestructura de IoT”, un Cybernews dijo el investigador.
“Esta fuga muestra múltiples desviaciones de las mejores prácticas, como no segregar adecuadamente los datos del usuario, publicar claves criptográficas junto con el firmware, no emplear controles de acceso adecuados para garantizar que solo los usuarios previstos puedan acceder a sus archivos y datos”.
Para los usuarios de Eeprint, las consecuencias podrían ser devastadoras, ya que los datos personales combinados con fotos crean riesgos de robo de identidadacoso y doxxing.
Las imágenes íntimas podrían ser particularmente dañinas, con el riesgo de chantaje y extorsión, o vergüenza pública duradera si aparecieran en línea.
Cybernews Contactó a la empresa matriz de LifePrint sobre los hallazgos, pero dice que aún no ha recibido una respuesta. La fuga se detectó por primera vez a fines de julio de 2025, y a partir de ahora, no se ha emitido ninguna declaración oficial.
