Informe: Theta360 Data Breach fuga milions de fotografies privades
L’equip de recerca de vpnMentor ho ha descobert Theta360 va experimentar un enorme incompliment de dades.
Els hackers del nostre equip d’investigació, Noam Rotem i Ran Locar, van trobar l’incompliment al sistema de compartir fotografies de Theta360. La filtració exposada com a mínim 11 milions de fotografies públiques i privades.
L’incompliment de dades exposat milers de fotos d’usuaris, moltes de les quals van optar per mantenir privades les seves imatges. L’incompliment no va exposar la informació personal més gran dels usuaris, però en molts casos la vam localitzar nom d’usuari, cognoms i cognoms i els subtítols que van escriure a la base de dades exposada.
No hem pogut accedir directament als comptes de mitjans socials dels usuaris mitjançant el sistema de Theta360.
Cronologia del descobriment i la reacció
- 14 de maig: Descobrim la filtració a la base de dades de Theta360
- 15 de maig: Ens posem en contacte amb Theta360 sobre la fuga
- 15 de maig: Theta360 respon al nostre equip
- 16 de maig: La fuita està tancada
Volem notar que la resposta de Theta360 al nostre descobriment va ser la més professional de qualsevol empresa amb la qual hem contactat sobre una fuga. Tanquen de manera ràpida i eficaç l’incompliment per protegir els seus usuaris.
Exemples d’entrades a la base de dades
Theta360 és una plataforma per compartir fotos. Està dirigit per RICOH, una companyia japonesa d’imagineria i electrònica. També són líders del sector en vendes de càmeres 360º. El 2016, l’empresa va vendre almenys 160.000 unitats. Esperen mantenir la seva condició de líder amb vendes projectades de 250.000 unitats el 2023.
Podríem accedir a més d’11 milions de publicacions no xifrades de la base de dades de Theta360.
Vam veure les publicacions tant i mateixos informació identificativa sobre el pòster. Inclouen comptes públics i privats.
Les dades exposades van incloure:
- El nom de l’usuari
- Nom d’usuari
- UUID (identificador únic universal) de cada foto publicada
- Capítol inclòs a cada publicació
- Configuració de privacitat
Mitjançant la inserció de l’UUID de les fotos a la base de dades Elasticsearch, podríem accedir a qualsevol fotografia exposada. En alguns casos, podríem fàcilment connecteu els noms d’usuari de la base de dades al compte de mitjans socials de l’usuari.
Pot ser que no sembli un incompliment massiu de seguretat per poder trobar fotos públiques. Tanmateix, és una enorme invasió de la privadesa. A més, utilitzant els mateixos mètodes, podríem accedir a les fotos dels perfils privats dels usuaris.
L’exemple final a continuació demostra fins a quin punt la filtració va comprometre la privadesa dels usuaris. Aquí, l’usuari va triar marca el seu compte com a no llistat. Això devia emmascarar la seva presència a Theta360. El compte no només era visible a la base de dades, però també podríem accedir a les imatges privades de l’usuari.
Impacte de la incomplicació de dades
La base de dades de Theta360 va enfosquir dades més sensibles, com ara les coordenades d’ubicació. Tanmateix, aquest va ser un bretó important de la privadesa que podria tenir un impacte de gran abast si els actors maliciosos van tenir l’oportunitat de descarregar la base de dades.
Molts usuaris que han publicat fotos en privat informació personal o privada enfosquida. Per exemple, alguns pares opten per guardar imatges dels seus fills en privat, ja que no volen que les fotografies dels seus fills estiguin disponibles lliurement a Internet. Altres pares podrien considerar que publicar imatges dels seus fills és un invasió de privacitat. Si sou un pare preocupat per la possibilitat que els incompliments de dades puguin afectar els vostres fills, podeu consultar la nostra guia sobre la protecció dels vostres fills a Internet.
Publicacions com les descobertes a l’incompliment de Theata360 podrien donar a un actor dolent la informació que necessiten robar la identitat d’algú. Només necessiten la data, el contingut de la foto i el títol.
La privacitat de la família i el robatori d’identitat no són les uniques preocupacions. Si hem combinat els 11 milions de publicacions, podríem tenir-ho fotografies il·legítimes descobertes que estaven destinats a romandre privats.
Publicar fotografies il·lícites pot tenir conseqüències àmplies per als subjectes. En algunes professions, això podria costar a un usuari la seva feina, com va ser el cas d’un professor a qui es va filtrar la fotografia nua.
Per a d’altres, Les fotos filtrades poden compartir informació sobre assumptes o fins i tot vacances que necessiten romandre en secret. Les etiquetes geogràfiques de dades poden conduir fàcilment a informació més sensible sobre un usuari.
Com vam descobrir l’incompliment
Hem descobert la filtració a la base de dades de Theta360 a través de les nostres mapatge web projecte. Dirigit per Ran i Noam, l’equip de recerca escaneja els ports per buscar blocs IP coneguts. Després utilitzen aquesta informació per trobar forats oberts als sistemes web de l’empresa. A continuació, poden buscar fuites i altres debilitats.
Els investigadors sovint tenen una idea d’on es pot produir una fuita, a la qual poden servir examina la base de dades per confirmar la seva identitat.
Després de descobrir la fuga, ens posem en contacte amb el propietari de la base de dades per informar-los sobre els forats de la seva seguretat. Si és possible, també alertem els usuaris afectats. D’aquesta manera, podem treballar amb empreses fer que la Internet sigui més segura i segura.
Tot i que hem examinat les dades disponibles, el nostre equip de recerca no descarrega la pròpia base de dades per tal de mantenir els nostres estàndards ètics.
Quant a nosaltres i informes anteriors
vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori de recerca és un servei professional que pretén aconseguir-ho ajudar la comunitat en línia a defensar-se contra les amenaces cibernètiques alhora que eduquen a les organitzacions a la protecció de les dades dels seus usuaris.
Recentment hem descobert un enorme incompliment de dades que afectava a 80 milions de llars nord-americanes. També vam revelar que Freedom Mobile va patir un incompliment que va afectar a més d’1,5 milions de clients. A més, és possible que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.
Per favor comparteix aquest informe a Facebook o tuiteu-lo.