便携式Lifeprint打印机应用在iOS和Android平台泄露数百万用户照片和敏感数据——事件详情

数据泄露概况

• 泄露文件总量：800万份
• 包含内容：200万张独有照片、用户信息、固件密钥
• 影响范围：超10万用户数据暴露
• 泄露原因：存储桶配置错误导致未授权访问

技术细节分析

根据Cybernews研究人员调查，此次泄露源于错误配置的存储桶，使得敏感文件可在互联网上公开访问。暴露数据包含：

• 用户名、邮箱地址
• 超过10万用户的打印统计信息
• 元数据显示社区已打印超160万张照片

安全威胁升级

泄露内容不仅包含用户照片，更严重的是：

• 同一公开存储桶中存在多个Lifeprint固件版本
• 文件中发现明文存储的私有加密密钥（用于固件签名验证）
• 攻击者可利用该密钥制作恶意固件并伪装成合法更新分发

潜在攻击场景

网络安全研究人员指出：

• 攻击者可能通过恶意固件劫持打印机设备
• 实现任意代码执行能力
• 将受控设备纳入僵尸网络
• 形成“物联网基础设施错误配置的典型案例”

用户面临风险

• 个人信息与照片组合可能导致身份盗用
• 骚扰和人肉搜索风险加剧
• 私密照片存在被用于勒索敲诈的可能
• 长期公开羞辱的潜在威胁

事件时间线与响应

• 首次检测时间：2025年7月下旬
• 研究团队已联系Lifeprint母公司
• 截至目前未收到官方回复
• 尚未发布任何正式声明

研究人员强调：“此次泄露显示出多项违反最佳实践的行为，包括未正确隔离用户数据、将加密密钥与固件一同发布、未采用适当的访问控制机制等。”