Bei der von Ricoh für 360-Grad-Kameras betriebenen Foto-Sharing-Plattform Theta360.com gab es eine Datenpanne. Dritte hätten mindestens 11 Millionen öffentliche und private Fotos von unzähligen Nutzern abrufen können. Unter der Marke Theta360 bietet der japanische Elektronikkonzern unterschiedliche Modelle von 360-Grad-Kameras an, die werden auf dem deutschen Markt etwa über Amazon, Conrad, Media Markt und weitere Händler angeboten. Eine eigene Foto-Sharing-Plattform Um Besitzern der Geräte das Teilen der 360-Grad-Aufnahmen zu ermöglichen, hat der japanische Hersteller seinen Foto-Sharing-Dienst Theta360 aufgesetzt. Nach einer Anmeldung können Nutzer ihre Aufnahmen hochladen, kommentieren und gegebenenfalls öffentlich teilen. Aber nicht jeder Benutzer dieser Plattform gibt die 360-Grad-Aufnahmen auch öffentlich frei. Manche 360-Grad-Bilder werden nur zur privaten Verwendung hochgeladen und sollen dies nach dem Willen der Besitzer auch bleiben. Datenbankinhalte öffentlich abrufbar Beispiel für einen Datenbank-Eintrag Einem Team von White Hat-Hackern, die sich selbst als Hacktivisten bezeichnen, ist nun die offene Benutzerdatenbank in Theta360 aufgefallen. Durch das Einfügen der UUID von Fotos in die betreffende Elasticsearch-Datenbank konnten die Sicherheitsforscher auf alle eingestellten Aufnahmen, aber auch weitere Daten fremder Nutzer zugreifen. Dabei waren neben den privaten und öffentlichen Fotos auch folgende Daten von Benutzerkonten abrufbar: Der Name des BenutzersDer User-Name zur Anmeldung bei der PlattformUUID (Universal Unique Identifier) jedes geposteten FotosBildunterschrift für jedes FotoDatenschutzeinstellungen In einigen Fällen ließen sich die Benutzernamen in der Datenbank problemlos mit dem Social Media-Konto des betreffenden Benutzers verbinden. Eine Identifizierung wäre also leicht möglich. Mindestens 11 Millionen Fotos betroffen Von diesem Datenleck sind mindestens 11 Millionen öffentliche und private Fotos betroffen, wie die Sicherheitsforscher für VPNMentor schreiben. Die Hacktivisten stufen den Vorfall als schwerwiegend ein, da manche Benutzer sehr private Fotos hochgeladen, aber nie öffentlich geteilt hätten – im Glauben, dass diese niemals öffentlich einsehbar sind. Dazu gehören wohl Aufnahmen, die Eltern anfertigten und auf denen ihre Kinder zu sehen sind. Hochgeladen worden seien auch 360-Grad-Ansichten privater Räume, die nichts in der Öffentlichkeit zu suchen haben. Nach solchen Lücken hatten die Hacker im Auftrag von VPNMentor gesucht, einem Anbieter von VPN-Diensten. Der will so Schwachstellen im Web ausfindig machen. Die Hacktivisten haben Theta360 am 15. Mai über das Datenleck informiert, woraufhin die Lücke einen Tag später geschlossen worden sei. Es ist aktuell unbekannt, ob Dritte die Schwachstelle ausgenutzt haben und ob Ricoh in Europa eine DSGVO-Meldung an die zuständigen Aufsichtsbehörden abgesetzt hat. (Günter Born) / (mho) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Bei der von Ricoh für 360-Grad-Kameras betriebenen Foto-Sharing-Plattform Theta360.com gab es eine Datenpanne. Dritte hätten mindestens 11 Millionen öffentliche und private Fotos von unzähligen Nutzern abrufen können. Unter der Marke Theta360 bietet der japanische Elektronikkonzern unterschiedliche Modelle von 360-Grad-Kameras an, die werden auf dem deutschen Markt etwa über Amazon, Conrad, Media Markt und weitere Händler angeboten. Eine eigene Foto-Sharing-Plattform Um Besitzern der Geräte das Teilen der 360-Grad-Aufnahmen zu ermöglichen, hat der japanische Hersteller seinen Foto-Sharing-Dienst Theta360 aufgesetzt. Nach einer Anmeldung können Nutzer ihre Aufnahmen hochladen, kommentieren und gegebenenfalls öffentlich teilen. Aber nicht jeder Benutzer dieser Plattform gibt die 360-Grad-Aufnahmen auch öffentlich frei. Manche 360-Grad-Bilder werden nur zur privaten Verwendung hochgeladen und sollen dies nach dem Willen der Besitzer auch bleiben. Datenbankinhalte öffentlich abrufbar Beispiel für einen Datenbank-Eintrag Einem Team von White Hat-Hackern, die sich selbst als Hacktivisten bezeichnen, ist nun die offene Benutzerdatenbank in Theta360 aufgefallen. Durch das Einfügen der UUID von Fotos in die betreffende Elasticsearch-Datenbank konnten die Sicherheitsforscher auf alle eingestellten Aufnahmen, aber auch weitere Daten fremder Nutzer zugreifen. Dabei waren neben den privaten und öffentlichen Fotos auch folgende Daten von Benutzerkonten abrufbar: Der Name des BenutzersDer User-Name zur Anmeldung bei der PlattformUUID (Universal Unique Identifier) jedes geposteten FotosBildunterschrift für jedes FotoDatenschutzeinstellungen In einigen Fällen ließen sich die Benutzernamen in der Datenbank problemlos mit dem Social Media-Konto des betreffenden Benutzers verbinden. Eine Identifizierung wäre also leicht möglich. Mindestens 11 Millionen Fotos betroffen Von diesem Datenleck sind mindestens 11 Millionen öffentliche und private Fotos betroffen, wie die Sicherheitsforscher für VPNMentor schreiben. Die Hacktivisten stufen den Vorfall als schwerwiegend ein, da manche Benutzer sehr private Fotos hochgeladen, aber nie öffentlich geteilt hätten – im Glauben, dass diese niemals öffentlich einsehbar sind. Dazu gehören wohl Aufnahmen, die Eltern anfertigten und auf denen ihre Kinder zu sehen sind. Hochgeladen worden seien auch 360-Grad-Ansichten privater Räume, die nichts in der Öffentlichkeit zu suchen haben. Nach solchen Lücken hatten die Hacker im Auftrag von VPNMentor gesucht, einem Anbieter von VPN-Diensten. Der will so Schwachstellen im Web ausfindig machen. Die Hacktivisten haben Theta360 am 15. Mai über das Datenleck informiert, woraufhin die Lücke einen Tag später geschlossen worden sei. Es ist aktuell unbekannt, ob Dritte die Schwachstelle ausgenutzt haben und ob Ricoh in Europa eine DSGVO-Meldung an die zuständigen Aufsichtsbehörden abgesetzt hat. (Günter Born) / (mho) Zur Startseite