Melaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto Pribadi


Tim peneliti vpnMentor telah menemukan itu Theta360 mengalami pelanggaran data yang sangat besar.

Peretas dari tim peneliti kami, Noam Rotem dan Ran Locar, menemukan pelanggaran dalam sistem berbagi foto Theta360. Kebocoran terbuka setidaknya 11 juta foto publik dan pribadi. 

Pelanggaran data terbuka ribuan foto pengguna, banyak di antaranya memilih untuk menjaga gambar mereka pribadi. Pelanggaran itu tidak memaparkan sebagian besar informasi pribadi pengguna, tetapi dalam banyak kasus, kami menemukan informasi itu nama pengguna, nama depan dan belakang, dan keterangan yang mereka tulis dalam database yang terbuka.

Kami tidak dapat mengakses akun media sosial pengguna secara langsung melalui sistem Theta360.

Garis Waktu Penemuan dan Reaksi

  • 14 Mei: Kami menemukan kebocoran di basis data Theta360
  • 15 Mei: Kami menghubungi Theta360 tentang kebocoran
  • 15 Mei: Theta360 merespons tim kami
  • 16 Mei: Kebocoran ditutup

Kami ingin mencatat bahwa tanggapan Theta360 terhadap penemuan kami adalah yang paling profesional dari perusahaan mana pun yang kami hubungi tentang kebocoran. Mereka dengan cepat dan efisien menutup pelanggaran untuk melindungi pengguna mereka.

Contoh Entri dalam Database

Theta360 adalah platform berbagi foto. Dijalankan oleh RICOH, perusahaan pencitraan dan elektronik Jepang. Mereka juga merupakan pemimpin industri dalam penjualan kamera 360º. Pada 2016, perusahaan menjual sedikitnya 160.000 unit. Mereka berharap untuk mempertahankan status pemimpin mereka dengan proyeksi penjualan 250.000 unit pada 2019.

Kami dapat mengakses lebih dari 11 juta posting tidak terenkripsi dari database Theta360.

Kami melihat pos itu sendiri dan mengidentifikasi informasi tentang poster. Ini termasuk akun publik dan pribadi.

Melaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto Pribadi

Data yang terbuka termasuk:

  • Nama pengguna
  • Nama pengguna
  • UUID (Universal Unique Identifier) ​​dari setiap foto yang diposting
  • Teks disertakan pada setiap posting
  • Pengaturan Privasi

Dengan memasukkan UUID dari foto ke dalam basis data Elasticsearch, kita dapat mengakses foto yang terbuka. Dalam beberapa kasus, kita bisa dengan mudah sambungkan nama pengguna dalam basis data ke akun media sosial pengguna.

Melaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto PribadiMelaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto Pribadi

Mungkin tidak tampak seperti pelanggaran keamanan besar-besaran untuk dapat menemukan foto publik. Namun, ini merupakan pelanggaran besar terhadap privasi. Selain itu, menggunakan metode yang sama, kita dapat mengakses foto dari profil pribadi pengguna.

Melaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto PribadiMelaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto Pribadi

Contoh terakhir di bawah ini menunjukkan sejauh mana kebocoran tersebut mengganggu privasi pengguna. Di sini, pengguna memilih untuk tandai akun mereka sebagai tidak terdaftar. Ini seharusnya menutupi kehadiran mereka di Theta360. Akun itu tidak hanya terlihat di database, tapi kami juga bisa mengakses gambar pribadi pengguna.

Melaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto PribadiMelaporkan: Pelanggaran Data Theta360 Kebocoran Jutaan Foto Pribadi

Dampak Pelanggaran Data

Basis data Theta360 mengaburkan data yang lebih sensitif seperti koordinat lokasi. Namun, ini adalah pelanggaran privasi utama yang bisa berdampak luas jika aktor jahat memiliki kesempatan untuk mengunduh basis data.

Banyak pengguna yang memposting foto secara pribadi informasi pribadi atau pribadi yang dikaburkan. Misalnya, beberapa orang tua memilih untuk menjaga gambar anak-anak mereka tetap pribadi, karena mereka tidak ingin foto-foto anak-anak mereka tersedia secara bebas di internet. Orang tua lain mungkin merasa bahwa memposting gambar anak-anak mereka adalah pelanggaran privasi. Jika Anda orang tua yang khawatir tentang bagaimana pelanggaran data dapat memengaruhi anak-anak Anda, Anda dapat merujuk pada panduan kami untuk melindungi anak-anak Anda di internet.

Posting seperti yang ditemukan dalam pelanggaran Theata360 dapat memberikan aktor yang buruk informasi yang mereka butuhkan mencuri identitas seseorang. Mereka hanya perlu tanggal, isi foto, dan keterangan.

Privasi keluarga dan pencurian identitas bukan satu-satunya masalah. Jika kami menyisir seluruh 11 juta posting, kami bisa melakukannya menemukan foto-foto terlarang yang dimaksudkan untuk tetap pribadi.

Mempublikasikan foto-foto terlarang dapat memiliki konsekuensi yang luas bagi para subjek. Dalam beberapa profesi, ini bisa membuat pengguna kehilangan pekerjaan mereka, seperti halnya seorang guru yang foto telanjangnya bocor.

Untuk yang lain, foto yang bocor dapat membagikan informasi tentang perselingkuhan atau bahkan liburan yang perlu dirahasiakan. Tag geografis dalam data dapat dengan mudah menyebabkan informasi yang lebih sensitif tentang pengguna.

Bagaimana Kami Menemukan Pelanggaran

Kami menemukan kebocoran di database Theta360 melalui kami pemetaan web proyek. Dipimpin oleh Ran dan Noam, tim peneliti memindai port untuk mencari blok IP yang diketahui. Mereka kemudian menggunakan informasi ini untuk menemukan lubang terbuka di sistem web perusahaan. Mereka kemudian dapat mencari kebocoran dan kelemahan lainnya.

Para peneliti sering memiliki ide dari mana kebocoran mungkin berasal, yang dapat mereka gunakan memeriksa database untuk mengkonfirmasi identitasnya.

Setelah menemukan kebocoran, kami menghubungi pemilik database untuk memberi tahu mereka tentang lubang keamanan mereka. Jika memungkinkan, kami juga memperingatkan pengguna yang terpengaruh. Dengan cara ini, kita dapat bekerja sama dengan perusahaan membuat internet lebih aman dan lebih aman.

Meskipun kami memeriksa data yang tersedia, tim peneliti kami tidak mengunduh database itu sendiri untuk menegakkan standar etika kami.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berusaha keras bantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mengedukasi organisasi tentang melindungi data pengguna mereka.

Kami baru-baru ini menemukan pelanggaran data besar yang berdampak pada 80 juta rumah tangga AS. Kami juga mengungkapkan bahwa Freedom Mobile mengalami pelanggaran yang memengaruhi lebih dari 1,5 juta pelanggan. Selain itu, Anda mungkin ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Silahkan bagikan laporan ini di Facebook atau tweet itu.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me