Raporti: Shkelja e të dhënave Theta360 rrjedhë miliona fotografi private


Ekipi hulumtues i vpnMentor ka zbuluar se Theta360 pësoi një shkelje të madhe të të dhënave.

Hacktivistët nga ekipi ynë hulumtues, Noam Rotem dhe Ran Locar, gjetën shkeljen në sistemin e ndarjes së fotografive të Theta360. Rrjedhja e ekspozuar të paktën 11 milion fotografi publike dhe private. 

Shkelja e të dhënave ekspozohet Fotografitë e mijëra përdoruesve, shumë prej të cilëve vendosën t’i mbanin imazhet e tyre private. Shkelja nuk ekspozoi informacionin më personal të përdoruesve, por në shumë raste, ne i gjetëm ato emrat e përdoruesve, mbiemrat dhe mbiemrat dhe titrat që kanë shkruar në bazën e të dhënave të ekspozuara.

Ne nuk mund të qasemi drejtpërdrejt në llogaritë e mediave sociale të përdoruesve përmes sistemit të Theta360.

Afati kohor i zbulimit dhe reagimit

  • 14 maj: Ne zbulojmë rrjedhjen në bazën e të dhënave të Theta360
  • 15 maj: Ne kontaktojmë Theta360 në lidhje me rrjedhjen
  • 15 maj: Theta360 i përgjigjet ekipit tonë
  • 16 maj: Rrjedhja është e mbyllur

Ne duam të vërejmë se përgjigjja e Theta360 ndaj zbulimit tonë ishte më profesionisti i çdo kompanie që kemi kontaktuar rreth një rrjedhje. Ata e mbyllën shpejt dhe me efikasitet shkeljen për të mbrojtur përdoruesit e tyre.

Shembuj të hyrjeve në bazën e të dhënave

Theta360 është një platformë e ndarjes së fotografive. Drejtohet nga RICOH, një kompani japoneze për imazhe dhe elektronikë. Ata janë gjithashtu një udhëheqës i industrisë në shitjet e kamerave 360º. Në vitin 2016, kompania shiti të paktën 160,000 njësi. Ata presin të ruajnë statusin e tyre të liderit me shitjet e parashikuara të 250,000 njësive në vitin 2019.

Mund të kemi qasje në më shumë se 11 milion postime të pakriptuara nga baza e të dhënave të Theta360.

Ne i kemi parë të dy postimet vetë dhe identifikimin e informacionit në lidhje me posterin. Kjo përfshin llogari publike dhe private.

Të dhënat e ekspozuara përfshijnë:

  • Emri i përdoruesit
  • usernames
  • UUID (Identifikuesi Unik Universal) i secilës foto të postuar
  • Titulli i përfshirë në secilin post
  • Kushtet e Privatësisë

Duke futur UUID-in e fotografive në bazën e të dhënave Elasticsearch, mund të kemi qasje në çdo fotografi të ekspozuar. Në disa raste, mund të bënim lehtë lidhni emrat e përdoruesve në bazën e të dhënave me llogarinë e mediave sociale të përdoruesit.

Mund të mos duket si një shkelje masive e sigurisë për të arritur të gjeni foto publike. Sidoqoftë, është një pushtim i madh i intimitetit. Për më tepër, duke përdorur të njëjtat metoda, ne mund të aksesonim fotografi nga profilet private të përdoruesve.

Shembulli përfundimtar më poshtë tregon shkalla në të cilën rrjedhja rrezikoi intimitetin e përdoruesve. Këtu, përdoruesi vendosi të shënoni llogarinë e tyre si të pa regjistruar. Kjo duhet të ketë maskuar praninë e tyre në Theta360. Llogaria nuk ishte e dukshme vetëm në bazën e të dhënave, por ne gjithashtu mund të përdorim fotografitë private të përdoruesit.

Ndikimi i thyerjes së të dhënave

Baza e të dhënave e Theta360 errësoi të dhëna më të ndjeshme si koordinatat e vendndodhjes. Sidoqoftë, kjo ishte një shkelje e madhe e intimitetit që mund të ketë një ndikim të gjerë nëse aktorët me qëllim të keq kishin mundësinë për të shkarkuar bazën e të dhënave.

Shumë përdorues që postuan fotografi në mënyrë private informacione të errëta personale ose private. Për shembull, disa prindër zgjedhin të mbajnë imazhe të fëmijëve të tyre privatë, pasi nuk duan që fotot e fëmijëve të tyre të jenë lirisht të disponueshme në internet. Prindërit e tjerë mund të mendojnë se postimi i fotove të fëmijëve të tyre është një pushtimi i intimitetit. Nëse jeni një prind që shqetësohet se si shkeljet e të dhënave mund të prekin fëmijët tuaj, mund t’i referoheni udhëzuesit tonë për mbrojtjen e fëmijëve tuaj në internet.

Postimet si ato të zbuluara në thyerjen e Theata360 mund t’i japin një aktori të keq informacionin që u duhen vjedhin identitetin e dikujt. Ata kanë nevojë vetëm për datën, përmbajtjen e fotografisë dhe titullin.

Intimiteti familjar dhe vjedhjet e identitetit nuk janë shqetësimi i vetëm. Nëse do të kapërcenim të gjitha 11 milion postimet, mund të kishim foto të paligjshme të zbuluara që synonin të mbeteshin private.

Publikimi i fotove të paligjshme mund të ketë pasoja shumë të gjera për subjektet. Në disa profesione, kjo mund t’i kushtojë një përdoruesi punën e tyre, siç ishte rasti i një mësuesi, fotografia nudo e të cilit u dha.

Për të tjerët, fotot që rrjedhin mund të ndajnë informacione rreth çështjeve apo edhe pushimeve që duhet të mbeten sekrete. Gjeotagët në të dhëna mund të çojnë lehtësisht në informacion më të ndjeshëm në lidhje me një përdorues.

Si e zbuluam shkeljen

Ne zbuluam rrjedhjen në bazën e të dhënave të Theta360 përmes tonë web-mapping projekt. Të udhëhequr nga Ran dhe Noam, ekipi i hulumtimit skanon portet për të kërkuar blloqe të njohura IP. Më pas ata përdorin këtë informacion për të gjetur vrimat e hapura në sistemet e internetit të kompanisë. Ata pastaj mund të kërkojnë rrjedhje dhe dobësi të tjera.

Studiuesit shpesh kanë një ide se nga vjen një rrjedhje, të cilën mund ta përdorin ekzaminoni bazën e të dhënave për të konfirmuar identitetin e saj.

Pas zbulimit të rrjedhjes, ne kontaktojmë pronarin e bazës së të dhënave për t’i informuar ata rreth vrimave në sigurinë e tyre. Nëse është e mundur, ne gjithashtu paralajmërojmë përdoruesit e prekur. Në këtë mënyrë, ne mund të punojmë me kompani për të ta bëjë internetin më të sigurt dhe më të sigurt.

Megjithëse kemi ekzaminuar të dhënat në dispozicion, ekipi ynë hulumtues nuk e shkarkon vetë bazën e të dhënave për të ruajtur standardet tona etike.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të bëjë ndihmoni komunitetin online të mbrohet vetë kundër kërcënimeve në internet ndërsa edukoni organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam se Freedom Mobile pësoi një shkelje që prek më shumë se 1.5 milion klientë. Për më tepër, ju mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

ju lutem ndajeni këtë raport në Facebook ose cicërojeni atë.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map