Pranešimas: „Theta360“ duomenų pažeidimas nutekina milijonus privačių nuotraukų

„vpnMentor“ tyrimų komanda tai atrado „Theta360“ patyrė didžiulį duomenų pažeidimą.

Hacktivists iš mūsų tyrimų komandos Noam Rotem ir Ran Locar rado „Theta360“ nuotraukų dalijimosi sistemoje pažeidimą. Mažiausiai atsirado nuotėkis 11 milijonų viešų ir privačių nuotraukų. 

Atskleistas duomenų pažeidimas tūkstančiai vartotojų nuotraukų, iš kurių daugelis pasirinko savo vaizdus laikyti privačius. Pažeidimas neatskleidė asmeninės informacijos apie vartotojus, tačiau daugeliu atvejų mes nustatėme jų vartotojo vardai, vardai ir pavardės bei parašytos antraštės esančioje duomenų bazėje.

Negalėjome tiesiogiai pasiekti vartotojų socialinės žiniasklaidos paskyrų per „Theta360“ sistemą.

Atradimo ir reagavimo laikas

• Gegužės 14 d .: Nuotėkį aptinkame „Theta360“ duomenų bazėje
• Gegužės 15 d .: Dėl nutekėjimo susisiekiame su „Theta360“
• Gegužės 15 d .: „Theta360“ reaguoja į mūsų komandą
• Gegužės 16 d .: Nuotėkis uždarytas

Norime atkreipti dėmesį, kad „Theta360“ atsakymas į atradimą buvo profesionaliausias iš bet kurios bendrovės, į kurią kreipėmės dėl nutekėjimo. Jie greitai ir efektyviai uždarė pažeidimą, kad apsaugotų savo vartotojus.

Įrašų duomenų bazėje pavyzdžiai

„Theta360“ yra nuotraukų dalijimosi platforma. Ją valdo japonų vaizdo ir elektronikos įmonė RICOH. Jie taip pat yra pramonės lyderė parduodant 360º kameras. 2016 metais įmonė pardavė mažiausiai 160 000 vienetų. Jie tikisi išlaikyti savo lyderio statusą, kai 2023 m. Planuojama parduoti 250 000 vienetų.

Iš „Theta360“ duomenų bazės galėjome pasiekti daugiau nei 11 milijonų nešifruotų įrašų.

Peržiūrėjome ir pačius įrašus, ir identifikuojanti informaciją apie plakatą. Tai apėmė valstybines ir privačias sąskaitas.

Pateikti duomenys apėmė:

• Vartotojo vardas
• Vartotojo vardai
• Kiekvienos paskelbtos nuotraukos UUID (universalus unikalus identifikatorius)
• Ant kiekvieno įrašo pridedama antraštė
• Privatumo nustatymai

Įterpdami nuotraukų UUID į „Elasticsearch“ duomenų bazę, galėtume pasiekti bet kurias eksponuojamas nuotraukas. Kai kuriais atvejais mes lengvai galėjome duomenų bazėje esančius vartotojo vardus prijunkite prie vartotojo socialinės žiniasklaidos paskyros.

Galbūt neatrodo, kad būtų galima surasti viešas nuotraukas, kaip didelis saugumo pažeidimas. Tačiau tai didžiulis privatumo pažeidimas. Be to, naudojant tuos pačius metodus, galėjome pasiekti nuotraukas iš asmeninių vartotojų profilių.

Pateiktas galutinis pavyzdys kokiu mastu nuotėkis pakenkė vartotojų privatumui. Čia vartotojas pasirinko pažymėk jų sąskaitą kaip neįtrauktą į sąrašą. Tai turėjo užmaskuoti jų buvimą „Theta360“. Paskyra buvo matoma ne tik duomenų bazėje, bet mes taip pat galėjome pasiekti asmenines vartotojo nuotraukas.

Duomenų pažeidimo poveikis

„Theta360“ duomenų bazė užtemdė jautresnius duomenis, tokius kaip vietos koordinatės. Tačiau tai buvo a didelis privatumo pažeidimas, kuris galėtų turėti didelę įtaką, jei kenksmingi veikėjai turėjo galimybę atsisiųsti duomenų bazę.

Daugelis vartotojų, kurie nuotraukas paskelbė privačiai neaiški asmeninė ar privati ​​informacija. Pavyzdžiui, kai kurie tėvai nusprendžia savo vaikų vaizdus laikyti privačius, nes nenori, kad jų vaikų nuotraukos būtų laisvai prieinamos internete. Kiti tėvai gali jausti, kad jų vaikų nuotraukų paskelbimas yra netinkamas dalykas Privatumo pažeidimas. Jei esate vienas iš tėvų, kuriam rūpi, kaip duomenų pažeidimai gali paveikti jūsų vaikus, galite kreiptis į mūsų vaikų apsaugos internete vadovą.

Tokie įrašai, kaip tie, kurie nebuvo atidaryti „Theata360“ pažeidimo metu, blogam aktoriui gali suteikti reikiamos informacijos pavogti kieno nors tapatybę. Jiems reikalinga tik data, nuotraukos turinys ir antraštė.

Šeimos privatumas ir tapatybės vagystės nėra vienintelės problemos. Jei mes sujungtume visus 11 milijonų pranešimų, mes galėtume atidengtos neteisėtos nuotraukos kurios buvo skirtos likti privačiomis.

Nelegalių nuotraukų viešinimas subjektams gali turėti toli siekiančių padarinių. Kai kuriose profesijose, tai vartotojui gali kainuoti jų darbą, kaip buvo mokytojo, kurio nuogas paveikslas buvo nutekėjęs, atveju.

Kitiems, nutekėjusiose nuotraukose gali būti dalijamasi informacija apie reikalus ar net atostogas, kurios turi likti paslaptyje. Duomenų geografinės žymės gali lengvai sukelti jautresnę informaciją apie vartotoją.

Kaip mes nustatėme pažeidimą

Per „Theta360“ duomenų bazę aptikome nutekėjimą interneto žemėlapių sudarymas projektas. „Ran“ ir „Noam“ vadovaujama tyrimų grupė tikrina uostus, kad ieškotų žinomų IP blokų. Tada jie naudoja šią informaciją norėdami rasti atvertų angų įmonės žiniatinklio sistemose. Tada jie gali ieškoti nutekėjimų ir kitų trūkumų.

Tyrėjai dažnai įsivaizduoja, kur gali būti nutekėjimas, prie kurio jie gali priprasti ištirti duomenų bazę, kad būtų patvirtinta jos tapatybė.

Suradę nuotėkį, susisiekiame su duomenų bazės savininku, norėdami informuoti juos apie jų saugumo spragas. Jei įmanoma, įspėjame ir paveiktus vartotojus. Tokiu būdu mes galime dirbti su įmonėmis padaryti internetą saugesnį ir saugesnį.

Nors mes ištyrėme turimus duomenis, mūsų tyrimų komanda pati neatsisiunčia duomenų bazės, kad laikytųsi mūsų etikos standartų.

Apie mus ir ankstesnės ataskaitos

„vpnMentor“ yra didžiausia pasaulyje VPN peržiūros svetainė. Mūsų tyrimų laboratorija yra pro bono tarnyba, kurios siekia padėti internetinei bendruomenei apsiginti kovojant su kibernetinėmis grėsmėmis ir mokant organizacijas saugoti savo vartotojų duomenis.

Neseniai aptikome didžiulį duomenų pažeidimą, paveikiantį 80 milijonų JAV namų ūkių. Mes taip pat atskleidėme, kad „Freedom Mobile“ patyrė pažeidimą, paveikiantį daugiau nei 1,5 mln. Klientų. Be to, galbūt norėsite perskaityti mūsų VPN nutekėjimo ataskaitą ir duomenų privatumo statistikos ataskaitą.

Prašau pasidalykite šia ataskaita „Facebook“ arba tweet tai.