La aplicación Lifeprint expone millones de fotos privadas y datos sensibles

• Millones de fotos privadas y datos de usuarios expuestos por una mala configuración de almacenamiento.
• Se filtraron claves de cifrado de firmware, abriendo la puerta a la manipulación maliciosa de las impresoras.
• Los usuarios se enfrentan a riesgos de chantaje, robo de identidad y acoso debido a la filtración de información personal.

Una grave brecha de privacidad ha expuesto millones de fotos privadas de Lifeprint, un sistema de impresión de fotos portátil. La filtración, descubierta por investigadores de Cybernews, reveló más de 8 millones de archivos, incluyendo 2 millones de fotos únicas, accesibles sin autenticación. La aplicación Lifeprint, disponible para iOS y Android, permite enviar imágenes y GIFs directamente desde un smartphone a un dispositivo conectado o incluso a la impresora de un amigo. La versión de Android ha sido descargada más de 100.000 veces en Google Play.

Los problemas de seguridad van más allá de las imágenes filtradas, ya que se encontraron múltiples versiones del firmware de Lifeprint en el mismo repositorio público. Enterrada entre esos archivos se encontraba una clave de cifrado privada en texto plano, utilizada para firmar las actualizaciones del firmware. Con esta clave, los atacantes podrían potencialmente crear firmware malicioso y distribuirlo como una actualización legítima. Este escenario podría permitir a los hackers secuestrar impresoras, ejecutar su propio código o incluso incorporar los dispositivos en botnets. Los investigadores señalan que esto es un ejemplo de malas prácticas, como no segregar adecuadamente los datos de los usuarios o publicar claves criptográficas junto con el firmware.

Para los usuarios de Lifeprint, las consecuencias podrían ser devastadoras, ya que los detalles personales combinados con las fotos crean riesgos de robo de identidad, acoso y doxxing. Las imágenes íntimas podrían ser particularmente dañinas, con el riesgo de chantaje y extorsión, o vergüenza pública duradera si aparecieran en línea. Cybernews contactó a la empresa matriz de Lifeprint sobre los hallazgos, pero aún no ha recibido respuesta. La filtración se detectó por primera vez a finales de julio de 2025 y, hasta la fecha, no se ha emitido ninguna declaración oficial.