ანგარიში: Theta360 მონაცემების დარღვევა მილიონობით პირად ფოტოზე გადადის

vpnMentor– ს კვლევის ჯგუფმა აღმოაჩინა ეს Theta360– მა მონაცემთა უზარმაზარი დარღვევა განიცადა.

ჩვენი კვლევითი გუნდის ჰაკტივირისტებმა, ნოამ როტემ და რან ლოკარმა დაარღვიეს Theta360- ის ფოტოპროგრამების სისტემაში დარღვევა. გაჟონვის გამოვლენა მაინც 11 მილიონი საჯარო და პირადი ფოტო. 

მონაცემთა დარღვევა გამოიკვეთა ათასობით მომხმარებლის ფოტო, რომელთაგან ბევრმა გადაწყვიტა საკუთარი სურათების პირადი დაცვა. დარღვევამ არ გამოავლინა მომხმარებლების პირად ინფორმაცია, მაგრამ ხშირ შემთხვევაში, ჩვენ მათი განთავსება გვქონდა სახელი, გვარი და გვარი და მათი დაწერილი წარწერები დაუცველ მონაცემთა ბაზაში.

ჩვენ ვერ შეგვიძლია პირდაპირ შევძლოთ მომხმარებლების სოციალური მედიის ანგარიშებზე წვდომა Theta360 სისტემის მეშვეობით.

აღმოჩენის და რეაგირების ვადები

  • 14 მაისი: ჩვენ აღმოვაჩენთ გაჟონვას Theta360 მონაცემთა ბაზაში
  • 15 მაისი: ჩვენ დავუკავშირდებით Theta360- ს გაჟონვის შესახებ
  • 15 მაისი: Theta360 ეხმაურება ჩვენს გუნდს
  • 16 მაისი: გაჟონვა დახურულია

გვინდა აღვნიშნოთ, რომ ჩვენი აღმოჩენის Theta360- ის პასუხმა ყველაზე პროფესიონალი იყო ნებისმიერი კომპანიისთვის, რომელთანაც ჩვენ დავუკავშირდით გაჟონვას. მათ სწრაფად და ეფექტურად ჩაკეტეს დარღვევა, რომ დაიცვან თავიანთი მომხმარებლები.

მონაცემთა ბაზაში შესვლის მაგალითები

Theta360 არის ფოტო გაზიარების პლატფორმა. მას მართავს იაპონიის ვიზუალიზაციისა და ელექტრონიკის კომპანია RICOH. ისინი ასევე ინდუსტრიის ლიდერია 360º კამერის გაყიდვაში. 2016 წელს კომპანიამ გაიყიდა მინიმუმ 160,000 ერთეული. ისინი სავარაუდოდ, 2019 წელს შეინარჩუნებენ ლიდერის სტატუსს 250,000 ერთეულით სავარაუდო გაყიდვებით.

ჩვენ შეგვეძლო მოგვეწერა 11 მილიონზე მეტი დაუშიფვრული შეტყობინებისთვის Theta360 მონაცემთა ბაზაში.

ჩვენ თვითონ დავინახეთ ორივე შეტყობინება პლაკატის შესახებ ინფორმაციის იდენტიფიცირება. ეს მოიცავს საჯარო და კერძო ანგარიშებს.

გამოვლენილი მონაცემები მოიცავდა:

  • მომხმარებლის სახელი
  • სახელები
  • UUID (უნივერსალური უნიკალური იდენტიფიკატორი) განთავსებული თითოეული ფოტო
  • თითოეული ჩანაწერის სათაური
  • Კონფიდენციალურობის პარამეტრები

UUID ფოტოების Elasticsearch– ის მონაცემთა ბაზაში ჩასმის საშუალებით, ჩვენ შეგვიძლია შევიტანოთ წვრილი ფოტოები. ზოგიერთ შემთხვევაში, ჩვენ მარტივად შეგვიძლია მონაცემთა ბაზაში არსებული სახელების დაკავშირება მომხმარებლის სოციალური მედიის ანგარიშზე.

შეიძლება არ ჩანდეს უსაფრთხოების მასიური დარღვევა, რომ შეეძლოს საჯარო ფოტოების პოვნა. ამასთან, ეს კონფიდენციალურობის უზარმაზარი შემოჭრაა. გარდა ამისა, იგივე მეთოდების გამოყენებით, ჩვენ შეგვიძლია შევიტანოთ ფოტოები მომხმარებლების პირადი პროფილებიდან.

ქვემოთ მოცემულია საბოლოო მაგალითი რამდენად განიცადა გაჟონვა მომხმარებლების კონფიდენციალურობამ. აქ მომხმარებელმა აირჩია აღნიშვნა, როგორც ანგარიში, როგორც არარსებული. ამან უნდა შეაფასა მათი ყოფნა Theta360- ზე. ანგარიში მხოლოდ მონაცემთა ბაზაში არ ჩანდა, მაგრამ ჩვენ ასევე შეგვეძლო მომხმარებლის პირადი სურათების წვდომა.

მონაცემთა დარღვევის გავლენა

Theta360 მონაცემთა ბაზაში დაფიქსირდა უფრო მგრძნობიარე მონაცემები, როგორიცაა მდებარეობის კოორდინატები. თუმცა, ეს იყო ა მთავარი კონფიდენციალურობის დარღვევა, რომელსაც შეიძლება ჰქონდეს შორსმიმავალი გავლენა, თუ მავნე მსახიობებს საშუალება ჰქონდათ მონაცემთა ბაზის ჩამოტვირთვა.

ბევრი მომხმარებელი, რომლებმაც პირადად განათავსეს ფოტოები გაურკვეველი პირადი ან პირადი ინფორმაცია. მაგალითად, ზოგი მშობელი ირჩევს საკუთარი შვილების სურათების პირად დაცვას, რადგან მათ არ სურთ, რომ მათი შვილების სურათები ინტერნეტში თავისუფლად იყოს ხელმისაწვდომი. სხვა მშობლებმა შეიძლება იფიქრონ, რომ შვილების სურათების განთავსება არის კონფიდენციალობაში შეჭრა. თუ თქვენ ხართ მშობელი, ვისაც აწუხებს, თუ როგორ შეიძლება მონაცემების დარღვევამ გავლენა მოახდინოს თქვენს შვილებზე, შეგიძლიათ მიმართოთ ჩვენს სახელმძღვანელოს, თქვენი შვილების ინტერნეტით დასაცავად..

Theata360– ის დარღვევაში გამოვლენილი შეტყობინებების მსგავსად, ცუდი მსახიობისთვის ინფორმაცია შეიძლება გახდეს მოიპარეთ ვინმეს ვინაობა. მათ მხოლოდ სჭირდებათ ფოტო, თარიღი და შინაარსები.

ოჯახის კონფიდენციალურობა და პირადობის ქურდობა ერთადერთი საზრუნავი არ არის. თუ ჩვენ 11 მილიონ პოსტს დავუკავშირდით, შეგვეძლო აღმოჩენილი უკანონო ფოტოები რომ გამიზნული უნდა ყოფილიყო პირადი.

უკანონო ფოტოების გამოქვეყნებამ შეიძლება შორს მიმავალი შედეგები მოიტანოს სუბიექტებისთვის. ზოგიერთ პროფესიაში, ამით მომხმარებელმა შეიძლება დააფასოს მათი სამუშაო, ისევე როგორც მასწავლებლის შემთხვევაში, რომლის შიშველმა სურათმა გაჟონა.

Სხვებისთვის, გაჟონა ფოტოებმა შეიძლება გააზიარონ ინფორმაცია იმ საქმეების ან თუნდაც დასვენების შესახებ, რომლებიც საიდუმლოდ უნდა დარჩეს. მონაცემების გეოგრაფებს ადვილად შეუძლიათ მომხმარებლის შესახებ უფრო მგრძნობიარე ინფორმაციის მიტანა.

როგორ აღმოვაჩინეთ დარღვევა

გაჟონვა აღმოვაჩინეთ Theta360– ის მონაცემთა ბაზაში, ჩვენი საშუალებით ვებ – რუქა პროექტი. რან და ნოამის ხელმძღვანელობით, კვლევის ჯგუფმა დააკანონა პორტები პორტრეტი ცნობილ IP ბლოკებში. შემდეგ ისინი იყენებენ ამ ინფორმაციას კომპანიის ვებ-სისტემებში ღია ხვრელების მოსაძებნად. შემდეგ მათ შეუძლიათ ნახონ გაჟონვა და სხვა სისუსტეები.

მკვლევარებს ხშირად აქვთ წარმოდგენა იმის შესახებ, თუ საიდან შეიძლება აღმოჩნდეს გაჟონვა, რის გამოყენებასაც შეძლებენ შეამოწმოს მონაცემთა ბაზა, რომ დაადასტუროს მისი ვინაობა.

გაჟონვის აღმოჩენის შემდეგ, ჩვენ დავუკავშირდებით მონაცემთა ბაზის მფლობელს, რომ მათ მათ უსაფრთხოების შესახებ ხვრელების შესახებ ინფორმაცია მივაწოდოთ. თუ ეს შესაძლებელია, ჩვენ ასევე ვაფრთხილებთ დაზარალებულ მომხმარებლებს. ამ გზით, ჩვენ შეგვიძლია ვიმუშაოთ კომპანიებთან ინტერნეტი უსაფრთხო და უსაფრთხო გახადე.

მიუხედავად იმისა, რომ ჩვენ გადავამოწმეთ არსებული მონაცემები, ჩვენი კვლევითი გუნდი არ ჩამოტვირთავს მონაცემთა ბაზას, რათა დაიცვას ჩვენი ეთიკური სტანდარტები.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უმსხვილესი VPN მიმოხილვის ვებსაიტზე. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომლისკენაც ისწრაფვის დაეხმარეთ ონლაინ საზოგადოების დაცვას კიბერ საფრთხეების წინააღმდეგ, ხოლო ორგანიზაციებს ასწავლიან თავიანთი მომხმარებლების მონაცემების დაცვას.

ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რაც გავლენას ახდენს 80 მილიონი აშშ-ს ოჯახზე. ჩვენ ასევე დავადგინეთ, რომ Freedom Mobile– მა დაარღვია დარღვევა, რაც გავლენას ახდენს 1,5 მილიონზე მეტ მომხმარებელზე. გარდა ამისა, თქვენ შეიძლება მოისურვოთ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

გთხოვთ გაუზიარეთ ეს მოხსენება Facebook- ზე ან ტვიტირება.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map