Attention à ne pas uploader de trucs sensibles sur Prnt.sc (Lightshot)

par Korben -

Je ne sais pas ce que vous utilisez pour faire vos captures écran et les partager avec vos contacts, mais si vous utilisez Lightshot, faites attention.

En effet, Lightshot permet d’uploader automatiquement sur leurs serveurs des captures écran pour les partager en ligne via leur service https://prnt.sc/ .

Suite à cet upload, ce que vous obtenez alors c’est une simple URL publiques comme celle-ci par exemple : https://prnt.sc/jrfslz

On pourrait la penser aléatoire mais en fait, pas du tout, car si j’envoie juste derrière une autre image, j’obtiens une séquence qui se suit plus ou moins. Ex : https://prnt.sc/jrfsyt

Entre mes 2 uploads, comme vous pouvez le voir, il y a eu pas mal d’autres gens qui ont aussi partagé des photos ou des screenshots : m1, m2, m3, […], yq, yr, ys…

On comprends donc qu’en entrant une suite de chiffres et de lettres de 1 à 6 caractères, il est très facile d’aller mater les screenshots / photos d’autres personnes. Et on y trouve à boire et à manger. Des captures écran de jeux vidéo, des messages d’erreur mais aussi des captures de conversation Skype ou des données plus personnelles comme des adresses postales et des noms. Pas très GDPR compliant tout ça d’ailleurs.

Bravo la sécu et clap clap à Naïm Gallouj qui a pointé du doigt ce souci. Notez aussi qu’un POC (pas testé de mon côté) permet de récupérer les images en suivant les séquences.

Des services comme Dropbox proposant le même genre de fonctionnalité, balancent comme ID une chaîne aléatoire de genre 100 caractères, ce qui rend plus compliqué la “découverte” de contenus partagés.

Lightshot de son côté a fait très light… et une fois encore, ça rejoint ce que j’expliquais dans ce post un peu énervé.

En attendant, je vous conseille de changer de crèmerie pour le partage de vos screenshots.

Merci à Charles pour l’info