【量子位 2025年12月13日讯】在商场、派对上风靡的自助拍照亭,竟成了个人隐私泄露的“隐形陷阱”。12月12日,安全研究员Zeacer向TechCrunch披露,全球连锁拍照亭制造商Hama Film的官方网站存在严重安全漏洞,顾客在拍照亭拍摄的照片、视频被无保护存储在服务器中,任何人都可轻易获取。更令人担忧的是,Zeacer早在2025年10月就向Hama Film及母公司Vibecast反馈该问题,但截至12月12日(周五),漏洞仍未完全修复,仅将照片存储周期从2-3周缩短至24小时,无法根本杜绝黑客每日批量下载的风险。
漏洞核心:无防护存储+无响应反馈,顾客照片“公开可见”
根据Zeacer的调查与技术验证,Hama Film的隐私泄露问题源于“基础安全措施的全面缺失”,漏洞细节与影响范围远超普通用户想象:
-
文件存储“裸奔”,无需密码即可访问Hama Film的自助拍照亭在为顾客打印照片后,会自动将电子版照片、视频上传至公司官网服务器,供顾客后续下载。但Zeacer发现,这些文件被直接存储在无访问权限限制的公开目录中——通过简单的URL路径拼接,无需登录、密码验证,任何人都能浏览甚至下载其他顾客的影像资料。他向TechCrunch提供的样本显示,泄露的照片中多为年轻人聚会、情侣合影、家庭留念等私人场景,部分照片还包含顾客手持身份证、护照的画面(用于办理签证、证件照场景),一旦被滥用,可能引发身份盗窃、诈骗等严重后果。仅在墨尔本地区的Hama Film拍照亭服务器中,Zeacer曾一次性发现超1000张待泄露的顾客照片。
-
厂商漠视漏洞,反馈两月无实质动作从漏洞发现到公开披露,Zeacer经历了长达两个月的“无效沟通”:2025年10月,他首次通过Hama Film官网“联系我们”通道、官方邮箱反馈漏洞,未获任何回复;11月下旬,他尝试联系Hama Film母公司Vibecast,甚至通过LinkedIn私信其联合创始人Joel Park,仍石沉大海;直至12月TechCrunch介入调查,Vibecast及Hama Film仍未对漏洞问题作出公开回应,也未向受影响顾客发送风险提示。“这不是复杂的高级漏洞,只是基础的文件权限配置错误,修复可能只需要几行代码。”Zeacer在接受采访时无奈表示,厂商的漠视态度让原本可快速解决的安全隐患,演变成持续数月的隐私危机。
风险升级:24小时自动删除成“表面功夫”,黑客仍能每日“收割”
面对外界压力,Hama Film在漏洞曝光前悄悄调整了服务器设置——将照片存储周期从原本的2-3周缩短至24小时,试图通过“缩短暴露时间”降低风险。但这一调整被安全专家批为“治标不治本”,反而可能让顾客放松警惕:
-
黑客可“每日定时收割”,泄露总量未减Zeacer测试发现,尽管照片仅留存24小时,但漏洞本身未修复,黑客可通过编写简单脚本,每天在照片上传高峰时段(如商场晚间、周末派对后)自动爬取服务器内所有影像文件。“24小时的窗口期足够覆盖大多数拍照亭的单日客流量,黑客只要每天定时操作,就能获取当天所有顾客的照片,泄露规模并未实质性减少。”更危险的是,这类脚本技术门槛极低,在暗网论坛中可轻易找到现成工具,普通网络攻击者也能实施批量下载,进一步扩大隐私泄露的潜在风险。
-
未通知受影响用户,后续防护无指引截至目前,Hama Film未通过任何渠道(如拍照亭现场提示、官网公告、邮件)告知曾使用过其服务的顾客“照片可能已泄露”,也未提供身份信息核查、风险防范的指引。这意味着大量在2025年10月漏洞发现前使用过Hama Film拍照亭的用户,仍对自己的隐私泄露情况一无所知,无法及时采取更换密码、监控信用记录等补救措施。
行业警示:基础安全缺失成“通病”,小漏洞藏大风险
Hama Film的漏洞事件并非个例,近期类似“因基础安全措施缺失导致的隐私泄露”频发,暴露了部分行业对数据安全的轻视:
-
对比案例:政府承包商也曾因“无限流”翻车就在1个月前,TechCrunch曾曝光美国政府承包商巨头Tyler Technologies的网站漏洞——其用于法院管理陪审员信息的平台未设置“访问频率限制(Rate-Limiting)”,黑客可通过脚本批量猜测陪审员的出生日期与数字标识符,轻松破解个人账户。这与Hama Film的漏洞本质相同:均因忽视“密码保护、访问控制、频率限制”等基础安全规则,导致敏感数据暴露。安全专家指出,这类漏洞的修复成本极低(通常只需配置服务器权限、添加验证机制),但厂商往往因“嫌麻烦”“节省成本”而省略,最终酿成隐私危机。
-
拍照行业成隐私泄露重灾区,合规意识待提升此次事件也将“拍照及影像服务行业”的隐私保护问题推向风口。随着自助拍照亭、共享摄影设备的普及,越来越多用户在不知情的情况下,同意服务商存储、处理自己的影像数据。但行业内普遍缺乏统一的安全标准,部分厂商既未加密存储数据,也未建立漏洞应急响应机制,导致用户隐私长期处于“裸奔”状态。律师事务所Gunderson Dettmer的隐私法律师Laura Shin提醒:“根据《欧盟通用数据保护条例(GDPR)》《美国加州消费者隐私法(CCPA)》,厂商若因自身过错导致用户数据泄露,需承担赔偿责任,甚至面临监管机构的高额罚款。Hama Film若持续漠视漏洞,可能面临集体诉讼与监管处罚的双重压力。”
用户防护建议:近期使用过拍照亭?这3步需立即做
针对此次漏洞及类似风险,安全专家为用户提供3项应急防护建议:
-
核查近期拍照记录,警惕陌生用途若2025年10月至今使用过Hama Film(在澳、美、阿联酋有分店)的拍照亭,尤其是拍摄过证件照、含个人敏感信息的照片,需密切关注近期是否有陌生账户注册、异常消费、垃圾邮件轰炸等情况,及时发现身份盗用迹象。
-
避免在拍照亭存储敏感影像未来使用自助拍照亭时,尽量选择“仅打印不存储电子版”的选项;若必须存储,需确认服务商是否提供“密码保护下载”功能,避免直接上传至无保护的公共服务器。
-
定期监控个人信息泄露情况通过“Have I Been Pwned”等信息泄露查询平台,输入常用邮箱、手机号,核查是否有个人数据被收录;同时可开启信用监控服务,防止身份信息被用于申请贷款、信用卡等金融场景。
目前,TechCrunch已暂时隐瞒漏洞的具体技术细节,避免更多攻击者利用该漏洞窃取隐私。但如果Hama Film及Vibecast仍持续漠视问题,TechCrunch表示将在未来披露完整漏洞细节,倒逼厂商修复。这场因“懒”引发的隐私危机,何时能真正落幕,仍需等待厂商的实际行动。
