אתר אירוח התמונות פוטובאקט פרוץ לחיפוש תמונות שהוגדרו כפרטיות, ובהן תמונות עירום של משתמשים. כתבה שפורסמה אתמול באתר באזפיד מספרת על התופעה, אולם מתברר שהיא ותיקה מאוד, אולי אפילו קיימת מאז הקמת האתר ב-2003. ברשת פועלות קבוצות שמאתרות ומשתפות תמונות כאלו, ויש מדריכים שמסבירים כיצד לבצע זאת. חשוב לדעת שגם אם אין לכם חשבון בפוטובאקט, תמונות שהעליתם ישירות לטוויטר מתארחות שם, בעקבות הסכם שנחתם בין החברות בשנה שעברה.
פוטובאקט משמש כשירות אחסון תמונות למשתמשים רשומים, שיכולים להעלותן לאתר ולהשתמש בהן בבלוגים, לשתפן בפורומים ולהעלותן לרשתות חברתיות. הגדרות הפרטיות מתבצעות ברמת האלבום, אותו אפשר להגדיר כפתוח לכל, פרטי (מוצג רק לבעלים) או מוגן סיסמה (מוצג רק לבעלים ולחברים שקיבלו הזמנה אליו). שתי האופציות האחרונות מסתירות את תמונות האלבום מחבריו של הבעלים וממנוע החיפוש של האתר. עם זאת, אפשר לשלוח לינק ישיר לתמונה מתוך אלבום פרטי או מוגן סיסמה, וכל אחד יכול להיכנס אליו ולצפות בתמונה, או להעבירו הלאה.
מדיניות שמות תמונות בעייתית
זה הליקוי הראשון, שאפשר לטעון שהוא פיצ'ר לגיטימי: אם שלחתי לינק ישיר לתמונה פרטית לאדם מסוים, מן הסתם אני סומך עליו. הוא יכול אמנם להעביר את הלינק הלאה, אבל באותה מידה הוא יכול להעביר את התמונה עצמה. אבל איך יכול גולש זדוני להיכנס לתמונות פרטיות אם הוא לא קיבל ממני לינק ישיר אליהן? כאן נכנסת מדיניות שמות התמונות בפוטובאקט. כשמעלים תמונה לפייסבוק, למשל, היא נשמרת בשם שפייסבוק נותנת לה, שמורכב מאוסף תווים שלא מקל על ניחושם. לעומת זאת, כשמעלים תמונה לפוטובאקט, היא שומרת על שמה המקורי. נניח שהעליתם לאלבום סודי בפוטובאקט סדרת תמונות, שנשארו בשמות המקוריים שהמצלמה נתנה להם, כמו IMG_0000.JPG, IMG_0001.JPG וכן הלאה. אם שיתפתם תמונה אחת בפייסבוק, הגולש הזדוני יוכל לדפדף לתמונות הבאות והקודמות במספרים עוקבים, ולהגיע לתמונות שלא התכוונתם לשתף.
שיטה נוספת היא שימוש במה שמכונה תוכנות פאסקינג (fusking), שמאתרות שמות קבצים מתבקשים מאתרים. התוכנות מקבלות שמות משתמש ושמות אלבומים בפוטובאקט, מבצעות חיפוש לפי שמות קבצים מתבקשים ומחזירות למשתמש את התמונות שנמצאו. בגוקר דיווחו כי באתר הקהילות רדיט פועלת קבוצה בשם "ביזת פוטובאקט", שהחברים בה משתפים תמונות פוטובאקט פרטיות. הקבוצה מספקת לינקים לתוכנות פאסקינג והסבר מפורט על השימוש בהן. החברים נקראים להעלות את התמונות לשירותי שיתוף אחרים, כך שהן יהיו זמינות גם אם הבעלים מחקו אותן מפוטובאקט. קבוצה נוספת ברדיט מוקדשת לבקשות פריצה לחשבונות פוטובאקט.
בבאזפיד דיווחו שפוטובאקט לא הגיבו לפנייתם בנושא. אולם סביר להניח שבחברה כבר מכירים את התופעה, משום שזו אינה חדשה. בחיפוש ברשת מצאנו פוסט מ-2004 עם תמונות עירום מפוטובאקט שהושגו בפאסקינג, פה יש דיווח מ-2006 על תופעת הפאסקינג בפוטובאקט, וביוטיוב יש סרטון מ-2009 שמסביר איך עושים זאת: