Hesabat: Theta360 Məlumat Qəzası Milyonlarla Şəxsi Fotoşəkilləri Sızdırır


vpnMentor`s tədqiqat qrupu bunu aşkar etdi Theta360 böyük bir məlumat pozuntusu ilə qarşılaşdı.

Araşdırma qrupumuzun hackistləri Noam Rotem və Ran Locar, Theta360-ın foto paylaşma sistemindəki pozuntuları tapdılar. Sızıntı heç olmasa ifşa olundu 11 milyon ictimai və özəl fotoşəkil. 

Məlumat pozuntusu ifşa edildi bir çoxu şəkillərini gizli saxlamağı seçən minlərlə istifadəçinin fotoşəkilləri. Qanun pozuntusu istifadəçilərin şəxsi məlumatlarını aşkar etməmişdir, lakin bir çox hallarda onların yerini tapdıq istifadəçi adları, soyadları və yazdıqları mövzular məruz bazasında.

İstifadəçilərin sosial media hesablarına Theta360 sistemi vasitəsilə birbaşa daxil ola bilmədik.

Kəşf və reaksiya qrafiki

  • 14 May: Sızıntını Theta360 bazasında tapırıq
  • 15 May: Sızma ilə əlaqədar Theta360 ilə əlaqə saxlayırıq
  • 15 May: Teta360 komandamıza cavab verir
  • 16 May: Sızma bağlıdır

Qeyd etmək istərdik ki, Theta360-ın kəşfimizə verdiyi cavab, sızma ilə əlaqəli olduğumuz şirkətin ən peşəkarsı idi. İstifadəçilərini qorumaq üçün pozuntuları tez və effektiv şəkildə bağladılar.

Verilənlər bazasına giriş nümunələri

Theta360, foto paylaşma platformasıdır. Bu Yapon görüntü və elektronika şirkəti olan RICOH tərəfindən idarə olunur. Onlar həmçinin 360º kameraların satışında bir liderdir. 2016-cı ildə şirkət ən az 160.000 ədəd satdı. 2019-cu ildə 250.000 ədəd proqnozlaşdırılan satışları ilə lider statuslarını qoruyacaqlarını gözləyirlər.

Theta360 verilənlər bazasından 11 milyondan çox şifrələnməmiş yazılara daxil ola bildik.

Həm yazıları özləri, həm də baxdıq afişa haqqında məlumatları müəyyənləşdirmək. Buraya dövlət və özəl hesablar daxil idi.

Açıqlanan məlumatlar daxil idi:

  • İstifadəçinin adı
  • İstifadəçi adları
  • Göndərilən hər bir fotoşəklin UUID (Universal Unikal identifikatoru)
  • Hər yazıya başlıq daxil edilmişdir
  • Məxfilik parametrləri

Fotoşəkillərin UUID-ni Elasticsearch verilənlər bazasına daxil etməklə istənilən məruz qalan fotoları əldə edə bildik. Bəzi hallarda asanlıqla edə bilərdik verilənlər bazasındakı istifadəçi adlarını istifadəçinin sosial media hesabına bağlayın.

İctimai fotoları tapa bilmək üçün böyük bir təhlükəsizlik pozuntusu kimi görünə bilməz. Ancaq gizlilik üçün böyük bir işğaldır. Bundan əlavə, eyni metodlardan istifadə etməklə, istifadəçilərin şəxsi profillərindən fotoları əldə edə bildik.

Aşağıdakı son nümunə göstərir sızma istifadəçilərin məxfiliyinə nə dərəcədə ziyan vurur. Burada istifadəçi seçdi hesablarını siyahıda olmayan kimi qeyd edin. Bu, Theta360-da mövcudluğunu maskalı olmalıdır. Hesab yalnız bazada görünmürdü, lakin istifadəçinin şəxsi şəkillərinə də daxil ola bildik.

Məlumatların pozulması təsiri

Theta360 verilənlər bazası məkan koordinatları kimi daha həssas məlumatları gizlətdi. Ancaq bu bir idi uzun müddətli təsir göstərə biləcək böyük gizlilik pozuntusu zərərli aktyorlar məlumat bazasını yükləmək imkanı əldə etdilər.

Fotoları fərdi şəkildə yerləşdirən bir çox istifadəçi gizli şəxsi və ya şəxsi məlumatlar. Məsələn, bəzi valideynlər uşaqlarının şəkillərinin internetdə sərbəst olmasını istəmədikləri üçün uşaqlarının şəkillərini gizli saxlamağı seçirlər. Digər valideynlər uşaqlarının şəkillərini yerləşdirməyin bir şey olduğunu hiss edə bilərlər Şəxsi həyata müdaxilə. Məlumat pozuntularının övladlarınıza necə təsir etməsindən narahat olan bir valideynsinizsə, uşaqlarınızı internetdə qorumaq üçün bələdçimizə müraciət edə bilərsiniz..

Theata360 pozuntusundan xəbəri olmayanlar kimi mesajlar pis bir aktyora lazım olan məlumatları verə bilər kiminsə şəxsiyyətini oğurlamaq. Onlara yalnız tarixə, şəklin məzmununa və yazıya ehtiyacı var.

Ailənin məxfiliyi və şəxsiyyət oğurluğu yeganə narahatlıq deyil. Bütün 11 milyon ismarıcdan keçsək, ola bilərdik aşkar olmayan qanunsuz fotolar özəl olaraq qalması nəzərdə tutulurdu.

Qeyri-qanuni fotoların yayılması mövzular üçün çox böyük nəticələrə səbəb ola bilər. Bəzi peşələrdə, bu bir istifadəçinin işinə başa gələ bilər, çılpaq şəkli sızan bir müəllimin işi kimi.

Digərləri üçün, sızan fotolar gizli qalması lazım olan işlər və ya tətillər haqqında məlumat paylaşa bilər. Məlumatlardakı yer etiketləri asanlıqla bir istifadəçi haqqında daha həssas məlumatlara səbəb ola bilər.

Qəzanı necə kəşf etdik

Theta360-ın məlumat bazasında sızıntıları özümüz vasitəsilə aşkar etdik veb Xəritəçəkmə layihə. Ran və Noamın rəhbərlik etdiyi tədqiqat qrupu, məlum IP bloklarını axtarmaq üçün limanları araşdırır. Daha sonra bu məlumatı şirkətin veb sistemlərində açıq deşiklər tapmaq üçün istifadə edirlər. Daha sonra sızma və digər zəif cəhətləri axtara bilərlər.

Tədqiqatçılar tez-tez bir sızıntının haradan gələ biləcəyi, istifadə edə biləcəyi barədə bir təsəvvürə sahibdirlər şəxsiyyətini təsdiqləmək üçün məlumat bazasını araşdırın.

Sızma aşkar edildikdən sonra, məlumatların sahibi ilə əlaqə quraraq təhlükəsizliyindəki dəliklər barədə məlumatlandırırıq. Mümkünsə, təsirlənmiş istifadəçiləri də xəbərdar edirik. Bu sayədə şirkətlər ilə işləyə bilərik interneti daha etibarlı və etibarlı hala gətirin.

Mövcud məlumatları araşdırsaq da, etik normalarımızı qorumaq üçün tədqiqat qrupumuz verilənlər bazasını özü yükləmir.

Haqqımızda və əvvəlki hesabatlar

vpnMentor dünyanın ən böyük VPN baxış veb saytıdır. Tədqiqat laboratoriyamız səy göstərən pro bono xidmətidir onlayn cəmiyyətin özünü müdafiə etməsinə kömək edin təşkilatların istifadəçilərinin məlumatlarını qorumağı öyrədərkən kiber təhdidlərə qarşı.

Bu yaxınlarda 80 milyon ABŞ ev təsərrüfatına təsir göstərən böyük bir məlumat pozuntusu aşkar etdik. Freedom Mobile-ın 1.5 milyondan çox müştəriyə təsir edən bir pozuntu yaşadığını da aşkar etdik. Əlavə olaraq, VPN Kaçak Hesabatı və Məlumat Gizlilik Statistikaları Hesabatımızı oxumaq istəyə bilərsiniz.

Xahiş edirəm bu hesabatı Facebook-da paylaşın və ya tweet edin.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map