Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Attention à ne pas uploader de trucs sensibles sur Prnt.sc (Lightshot)

Je ne sais pas ce que vous utilisez pour faire vos captures écran et les partager avec vos contacts, mais si vous utilisez Lightshot, faites attention.

En effet, Lightshot permet d’uploader automatiquement sur leurs serveurs des captures écran pour les partager en ligne via leur service https://prnt.sc/ .

Suite à cet upload, ce que vous obtenez alors c’est une simple URL publiques comme celle-ci par exemple : https://prnt.sc/jrfslz

On pourrait la penser aléatoire mais en fait, pas du tout, car si j’envoie juste derrière une autre image, j’obtiens une séquence qui se suit plus ou moins. Ex :  https://prnt.sc/jrfsyt

Entre mes 2 uploads, comme vous pouvez le voir, il y a eu pas mal d’autres gens qui ont aussi partagé des photos ou des screenshots : m1, m2, m3, […], yq, yr, ys…

On comprends donc qu’en entrant une suite de chiffres et de lettres de 1 à 6 caractères, il est très facile d’aller mater les screenshots / photos d’autres personnes. Et on y trouve à boire et à manger. Des captures écran de jeux vidéo, des messages d’erreur mais aussi des captures de conversation Skype ou des données plus personnelles comme des adresses postales et des noms. Pas très GDPR compliant tout ça d’ailleurs.

Bravo la sécu et clap clap à Naïm Gallouj qui a pointé du doigt ce souci. Notez aussi qu’un POC (pas testé de mon côté) permet de récupérer les images en suivant les séquences.

Des services comme Dropbox proposant le même genre de fonctionnalité, balancent comme ID une chaîne aléatoire de genre 100 caractères, ce qui rend plus compliqué la « découverte » de contenus partagés.

Lightshot de son côté a fait très light… et une fois encore, ça rejoint ce que j’expliquais dans ce post un peu énervé.

En attendant, je vous conseille de changer de crèmerie pour le partage de vos screenshots.

Merci à Charles pour l’info



Réponses notables

  1. eXa says:

    Je crois qu’ils font juste appel au bon sens vu que dans la FAQ:

    Q: I have accidentally uploaded a screenshot with my private information. How can I remove it from prtnscr.com?
    A: You can ask our support team to remove the screenshot from prntscr.com via our email support@skillbrains.com, or you can just press the abuse button under the image on our website.

  2. Bof, la plupart des service de ce genre ont une API permettant de récupérer au hasard des images uploadées, ce qui revient grosso modo au même non?
    Exemple pour imgur: http://jasonb.io/randomgur/go/

  3. Ah ouais… l’erreur facile pour un programmeur, quoi !
    Perso j’utilise puush vu que leur logiciel de screenshot (maintenant discontinued et en fin de vie) est léger, pratique et simple à utiliser (c’est juste qu’il crash souvent :sob: ), et je l’en sers un peu pour tout. Pareil, ça upload aussi en public mais les images (ou fichiers, car tout type de fichier est accepté) sont supprimées au bout d’un mois, donc ça va.
    Tout ça parce que j’ai la flemme d’utiliser ShareX…
    Mais bon, sinon je le désinstallerai quand les nouvelles fonctions de screenshot de windows 10 arriveront (dans les dernières builds insider on peut capturer rapidement une zone avec un raccourci clavier, l’annoter, etc)

  4. Oups, je viens de tester sur puush et, même si il y a une chaîne alphanumérique séquentielle + une chaîne aléatoire, j’ai quand même pu aller sur le screen steam de quelqu’un d’autre :frowning:
    Donc ça touche aussi des services concurrents

  5. gily says:

    Pour se créer un bouton “random” à peu de frais sous Firefox, il est possible d’exploiter la manipulation suivante.

    • Afficher la barre des “Bookmarks” (pour accéder au futur bouton en un clic).
    • Créer un “Bookmark” dans la barre de “Bookmarks”.
    • Encoder un nom pour le “Bookmark” (comme “random” par exemple).
    • Encoder ceci comme “Location” : javascript:window.open(“https://prnt.sc/"+Math.random().toString(36).substr(2,6),"_self”)

    Cela aura pour action, à chaque clic sur ce “Bookmark”, de recharger l’onglet courant avec l’URL de Prnt.sc et une chaîne aléatoire de 6 caractères alphanumériques.

    Ce n’est pas une solution parfaite mais elle est suffisante et relativement élégante, donc je me permets de la partager avec vous.

Continuer la discussion sur Korben Communauté

1 commentaires supplémentaires dans les réponse

Participants