Laporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar Swasta


Pasukan penyelidikan vpnMentor telah menemui itu Theta360 mengalami pelanggaran data yang besar.

Hacktivists dari pasukan penyelidikan kami, Noam Rotem dan Ran Locar, mendapati pelanggaran dalam sistem perkongsian foto Theta360 itu. Kebocoran terdedah sekurang-kurangnya 11 juta gambar awam dan swasta. 

Pelanggaran data terdedah beribu-ribu gambar pengguna, ramai yang memilih untuk menyimpan gambar mereka secara peribadi. Pelanggaran itu tidak mendedahkan maklumat yang paling peribadi pengguna, tetapi dalam banyak kes, kami mendapati mereka nama pengguna, nama pertama dan terakhir, dan kapsyen yang mereka tulis dalam pangkalan data terdedah.

Kami tidak boleh mengakses akaun media sosial pengguna secara langsung melalui sistem Theta360.

Garis masa penemuan dan reaksi

  • 14 Mei: Kami menemui kebocoran dalam pangkalan data Theta360
  • 15 Mei: Kami menghubungi Theta360 mengenai kebocoran itu
  • 15 Mei: Theta360 memberi respons kepada pasukan kami
  • 16 Mei: Kebocoran ditutup

Kami ingin maklum bahawa respons Theta360 terhadap penemuan kami adalah yang paling profesional dari mana-mana syarikat yang kami hubungi mengenai kebocoran. Mereka dengan cepat dan cekap menutup pelanggaran untuk melindungi pengguna mereka.

Contoh Penyertaan dalam Pangkalan Data

Theta360 adalah platform perkongsian foto. Ia dikendalikan oleh RICOH, sebuah syarikat pengimejan dan elektronik Jepun. Mereka juga merupakan pemimpin industri dalam jualan kamera 360º. Pada tahun 2016, syarikat itu menjual sekurang-kurangnya 160,000 unit. Mereka mengharapkan untuk mengekalkan status pemimpin mereka dengan unjuran jualan sebanyak 250,000 unit pada tahun 2019.

Kami boleh mengakses lebih daripada 11 juta jawatan yang tidak diskriptikan dari pangkalan data Theta360.

Kami melihat kedua-dua jawatan itu sendiri dan mengenal pasti maklumat tentang poster. Ini termasuk akaun awam dan persendirian.

Laporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar Swasta

Data terdedah termasuk:

  • Nama pengguna
  • Nama pengguna
  • UUID (Universal Unique Identifier) ​​setiap foto yang disiarkan
  • Keterangan termasuk pada setiap jawatan
  • Tetapan privasi

Dengan memasukkan UUID gambar ke dalam pangkalan data Elasticsearch, kami boleh mengakses mana-mana foto yang terdedah. Dalam sesetengah kes, kita boleh dengan mudah sambungkan nama pengguna dalam pangkalan data ke akaun media sosial pengguna.

Laporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar SwastaLaporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar Swasta

Ia mungkin tidak kelihatan seperti pelanggaran keselamatan yang besar untuk dapat mencari foto awam. Walau bagaimanapun, ia adalah pencerobohan besar terhadap privasi. Di samping itu, menggunakan kaedah yang sama, kami boleh mengakses foto dari profil peribadi pengguna.

Laporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar SwastaLaporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar Swasta

Contoh terakhir di bawah menunjukkan sejauh mana kebocoran pengguna privasi terjejas. Di sini, pengguna memilih untuk tandakan akaun mereka sebagai tidak tersenarai. Ini sepatutnya menonjol kehadiran mereka di Theta360. Akaun tidak hanya dapat dilihat di pangkalan data, tetapi kami juga boleh mengakses gambar peribadi pengguna.

Laporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar SwastaLaporan: Theta360 Pelanggaran Data Terbongkar Jutaan Gambar Swasta

Kesan Pelanggaran Data

Pangkalan data Theta360 mengaburkan data yang lebih sensitif seperti koordinat lokasi. Bagaimanapun, ini adalah a pelanggaran privasi utama yang boleh mempunyai kesan yang meluas jika Pelakon berniat jahat mempunyai peluang untuk memuat turun pangkalan data.

Ramai pengguna yang menyiarkan foto secara peribadi mengaburkan maklumat peribadi atau peribadi. Sebagai contoh, sesetengah ibu bapa memilih untuk menyimpan gambar anak-anak mereka secara peribadi, kerana mereka tidak mahu gambar anak-anak mereka boleh didapati secara bebas di internet. Ibu bapa yang lain mungkin merasakan bahawa memaparkan gambar anak-anak mereka adalah pencerobohan privasi. Jika anda seorang ibu bapa yang prihatin tentang bagaimana pelanggaran data boleh menjejaskan anak-anak anda, anda boleh merujuk panduan kami untuk melindungi anak-anak anda di internet.

Catatan seperti yang ditemui dalam pelanggaran Theata360 dapat memberikan pelaku buruk maklumat yang mereka perlukan mencuri identiti seseorang. Mereka hanya perlu tarikh, kandungan foto, dan kapsyen.

Kecurian privasi dan identiti keluarga bukanlah satu-satunya kebimbangan. Sekiranya kita menyikat semua 11 juta jawatan, kita boleh gambar haram yang tidak dijumpai yang bertujuan untuk kekal bersendirian.

Mengumumkan foto-foto tidak sah boleh membawa kesan yang meluas kepada subjek. Dalam beberapa profesion, ini boleh membebankan pengguna pekerjaan mereka, seperti mana seorang guru yang gambar bogelnya bocor.

Untuk yang lain, foto yang bocor mungkin berkongsi maklumat mengenai hal ehwal atau bahkan bercuti yang perlu dirahsiakan. Geotag dalam data dengan mudah boleh membawa kepada maklumat yang lebih sensitif tentang pengguna.

Bagaimana Kami Menemui Pelanggaran

Kami mendapati kebocoran dalam pangkalan data Theta360 melalui kami pemetaan web projek. Diketuai oleh Ran dan Noam, pasukan penyelidikan mengimbas pelabuhan untuk mencari blok IP yang diketahui. Mereka kemudian menggunakan maklumat ini untuk mencari lubang terbuka dalam sistem web syarikat. Mereka kemudiannya boleh mencari kebocoran dan kelemahan lain.

Para penyelidik sering mempunyai idea mengenai kebocoran yang mungkin datang, yang boleh mereka gunakan memeriksa pangkalan data untuk mengesahkan identiti mereka.

Selepas menemui kebocoran, kami menghubungi pemilik pangkalan data untuk memaklumkan mereka tentang lubang keselamatan mereka. Jika boleh, kami juga memberi amaran kepada pengguna yang terjejas. Dengan cara ini, kita boleh bekerjasama dengan syarikat membuat internet lebih selamat dan lebih selamat.

Walaupun kami memeriksa data yang ada, pasukan penyelidikan kami tidak memuat turun pangkalan data itu sendiri untuk menegakkan standard etika kami.

Tentang Kami dan Laporan Terdahulu

vpnMentor adalah laman web semakan VPN terbesar di dunia. Makmal penyelidikan kami adalah perkhidmatan pro bono yang berusaha membantu komuniti dalam talian mempertahankan dirinya sendiri terhadap ancaman siber semasa mendidik organisasi untuk melindungi data pengguna mereka.

Kami baru-baru ini menemui pelanggaran data yang besar yang menjejaskan 80 juta isi rumah AS. Kami juga mendedahkan bahawa Freedom Mobile mengalami pelanggaran yang memberi kesan kepada lebih daripada 1.5 juta pelanggan. Di samping itu, anda mungkin mahu membaca Laporan Kebocoran VPN dan Statistik Statistik Data kami.

Tolong kongsi laporan ini di Facebook atau tweet itu.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me