Доклад: Нарушаването на данни Theta360 изтича милиони частни фотографии


Изследователският екип на vpnMentor е открил това Theta360 претърпя огромно нарушение на данните.

Хактистисти от нашия изследователски екип Ноам Ротем и Ран Локар откриха нарушението в системата за споделяне на снимки на Theta360. Течът е изложен най-малко 11 милиона публични и частни фотографии. 

Изложеното нарушение на данните хиляди снимки на потребители, много от които избраха да запазят личните си изображения. Нарушението не изложи най-личната информация на потребителите, но в много случаи ние открихме тяхната потребителски имена, име и фамилия и надписите, които са написали в изложената база данни.

Не можахме директно да имаме достъп до акаунти в социалните медии на потребителите чрез системата на Theta360.

Времева линия на откриване и реакция

  • 14 май: Откриваме теча в базата данни на Theta360
  • 15 май: Свързваме се с Theta360 относно теча
  • 15 май: Theta360 отговаря на нашия екип
  • 16 май: Течът е затворен

Искаме да отбележим, че отговорът на Theta360 на нашето откритие беше най-професионален от всяка компания, с която сме се свързали с теч. Те бързо и ефективно затвориха нарушението, за да защитят своите потребители.

Примери за записи в базата данни

Theta360 е платформа за споделяне на снимки. Тя се ръководи от RICOH, японска компания за изображения и електроника. Те също са лидер в индустрията по продажби на 360º камери. През 2016 г. компанията е продала най-малко 160 000 бройки. Те очакват да запазят статута си на лидер с прогнозни продажби от 250 000 бройки през 2019 г..

Можехме да имаме достъп до повече от 11 милиона нешифровани публикации от базата данни на Theta360.

Прегледахме както самите публикации, така и идентифициране на информация за плаката. Това включваше публични и частни акаунти.

Доклад: Нарушаването на данни Theta360 изтича милиони частни фотографии

Изложените данни включват:

  • Името на потребителя
  • Потребителските имена
  • UUID (универсален уникален идентификатор) на всяка публикувана снимка
  • Надписът е включен във всяка публикация
  • Настройките за поверителност

Като вмъкнем UUID на снимките в базата данни на Elasticsearch, бихме могли да получим достъп до всички открити снимки. В някои случаи лесно бихме могли свържете потребителските имена в базата данни с акаунта на социалната медия на потребителя.

Доклад: Нарушаването на данни Theta360 изтича милиони частни фотографииДоклад: Нарушаването на данни Theta360 изтича милиони частни фотографии

Може да не изглежда мащабно нарушение на сигурността, за да можете да намерите публични снимки. Това обаче е огромно нахлуване в поверителността. Освен това, използвайки същите методи, можехме да имаме достъп до снимки от личните профили на потребителите.

Доклад: Нарушаването на данни Theta360 изтича милиони частни фотографииДоклад: Нарушаването на данни Theta360 изтича милиони частни фотографии

Последният пример по-долу показва степента, в която течът компрометира поверителността на потребителите. Тук потребителят избра да маркирайте акаунта си като невключен. Това трябваше да прикрие присъствието им на Theta360. Профилът не се виждаше само в базата данни, но бихме могли да имаме достъп и до личните снимки на потребителя.

Доклад: Нарушаването на данни Theta360 изтича милиони частни фотографииДоклад: Нарушаването на данни Theta360 изтича милиони частни фотографии

Въздействие на нарушаването на данни

Базата данни на Theta360 затъмнява по-чувствителни данни като координати на местоположението. Това обаче беше а съществено нарушение на личния живот, което би могло да окаже значително влияние, ако злонамерените участници имаха възможност да изтеглят базата данни.

Много потребители, публикували снимки на частно затъмнена лична или частна информация. Например, някои родители избират да запазят лични изображения на децата си, тъй като не искат снимките на децата им да бъдат свободно достъпни в интернет. Други родители може да почувстват, че публикуването на снимки на децата им е анкетно нарушаване на личното пространство. Ако сте родител, който се притеснява как нарушенията на данните могат да се отразят на децата ви, можете да се обърнете към нашето ръководство за защита на децата си в интернет.

Публикации като тези, разкрити при нарушаване на Theata360, могат да дадат на лош актьор информацията, от която се нуждаят открадне нечия самоличност Те се нуждаят само от дата, съдържание на снимката и надпис.

Семейното поверителност и кражба на самоличност не са единствените проблеми. Ако срешехме всичките 11 милиона публикации, щяхме да имаме непокрити незаконни снимки които бяха предназначени да останат частни.

Публикуването на незаконни снимки може да има далечни последици за субектите. В някои професии, това може да струва на потребителя работата им, както беше в случая с учител, чиято гола снимка беше изтекла.

За другите, изтекли снимки може да споделят информация за дела или дори ваканции, които трябва да останат в тайна. Геотаговете в данните лесно могат да доведат до по-чувствителна информация за даден потребител.

Как открихме нарушението

Ние открихме изтичането в базата данни на Theta360 чрез нашата уеб картографиране проект. Водени от Ran и Noam, изследователският екип сканира портовете, за да търси известни IP блокове. След това те използват тази информация, за да намерят отворени дупки в уеб системите на компанията. След това те могат да търсят течове и други слабости.

Изследователите често имат представа откъде може да се появи теч, за което могат да използват проучете базата данни, за да потвърдите нейната самоличност.

След като открием теча, се свързваме със собственика на базата данни, за да ги информираме за дупки в тяхната сигурност. Ако е възможно, алармираме и засегнатите потребители. По този начин можем да работим с компании, за да направете интернет по-безопасен и по-сигурен.

Въпреки че проучихме наличните данни, нашият изследователски екип не изтегля самата база данни, за да спазва нашите етични стандарти.

За нас и предишни отчети

vpnMentor е най-големият уебсайт за преглед на VPN в света. Нашата изследователска лаборатория е про bono услуга, към която се стремим помогнете на онлайн общността да се защити срещу кибер заплахи, докато обучават организации за защита на данните на своите потребители.

Наскоро открихме огромно нарушение на данните, засягащо 80 милиона американски домакинства. Разкрихме също, че Freedom Mobile претърпя нарушение, засягащо над 1,5 милиона клиенти. Освен това може да искате да прочетете нашия доклад за течове на VPN и отчет за статистиката на поверителност на данните.

Моля те споделете този доклад във Facebook или туитвай го.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me