Theta360-Datenleck: 11 Millionen privater Fotos öffentlich

[English]Ein Datenleck im Foto-Sharing-Dienst des Anbieters RICOH/Theta360 bewirkte, dass um die 11 Millionen privater oder öffentlicher Fotos sowie die Benutzerdaten von jedermann abrufbar waren. Die 360-Grad-Kameras werden auch in Deutschland vertrieben, so dass auch deutsche Nutzer die Foto-Sharing-Plattform Theta360.com genutzt haben dürften.


Anzeige

Die Information ging mir vor wenigen Stunden vom Research-Team des Sicherheitsanbieters vmpmentor zu. RICOH ist eine japanische Firma, die dem einen oder anderen Leser vielleicht von RICOH-Druckern ein Begriff ist.

RICOH Theta360: 360-Grad-Kameras

Aber RICOH ist ein breit aufgestelltes Elektronikunternehmen, welches bei 360-Grad-Kameras führend ist. Im Jahr 2016 verkaufte das Unternehmen mindestens 160.000 Einheiten. RICOH geht davon aus, dass sie ihre Führungsposition mit einem prognostizierten Absatz von 250.000 Einheiten im Jahr 2019 halten werden.

Mit einer solchen Kamera kann man eine 360 Grad umfassende Aufnahme erstellen und im Internet teilen. Smartphones mit Android oder iOS können das mit den Kamera-Apps ebenfalls (nutze ich schon mal). So entstehen dann die im Internet abrufbaren Fotos, wo man per Cursor oder per Finger nach links oder rechts schwenken kann, um verschiedene Ansichten zu sehen. Das ist ein neuer Trend, siehe auch hier. Imposant sind die 360-Grad-Aufnahmen schon.

Die von der Firma RICOH vertriebenen 360-Grad-Kameras der Marke Theta360 (es gibt verschiedene Modelle) sind auch in Deutschland erhältlich. Ich habe diese Produkte bei Amazon und beim Media Markt gesehen. Zudem vertreibt der deutsche Anbieter Conrad diese Kameras.

Hier im Blog habe ich das Produkt (im Gegensatz zu anderen Webseiten) aber nie vorgestellt. Ich meine zwar, dass ich immer wieder Pressemitteilungen und Rezensionsanfragen des Anbieters bekam, um das Produkt vorzustellen.  Im Hintergrund war der Gedanke 'wozu brauchst Du das, und was ist, wenn die Kamera Sicherheitslücken hat'.

Theta360 Foto-Sharing-Plattform

Der Hersteller RICOH hat die Webseite Theta360.com als Foto-Sharing-Plattform auch in einer deutschsprachigen Variante für seine Kunden aufgesetzt.

RICOH Theta360 360-Grad-Kameras

Auf der Seite kann sich ein Kamerabesitzer registrieren, um die sphärischen 360-Grad-Fotos der Kamera hochzuladen und ggf. öffentlich zu teilen oder privat zu speichern.

Benutzerdaten öffentlich zugänglich

Das vpnmentor Forschungsteams um die White-Hat-Hacker (Hacktivisten) Noam Rotem und Ran Locar stießen kürzlich auf ein Datenleak im Foto-Sharing-Dienst zum Teilen von 360-Grad-Fotos der Webseite Theta360.com. Die Forscher konnten auf die Daten von privaten und öffentlichen Benutzerkonten zugreifen. Dabei waren folgende Daten abrufbar:


Anzeige

Theta360-Nutzerdaten
(Quelle: vpnmentor)

  • Der Name des Benutzers
  • Der User-Name zur Anmeldung bei der Plattform
  • UUID  (Universal Unique Identifier) jedes geposteten Fotos
  • Bildunterschrift für jedes Foto
  • Datenschutzeinstellungen

Durch das Einfügen der UUID der Fotos in die Elasticsearch-Datenbank konnten die Sicherheitsforscher auf alle eingestellten Fotos zugreifen. In einigen Fällen ließen sich die Benutzernamen in der Datenbank problemlos mit dem Social Media-Konto des Benutzers verbinden.

Vom Datenleck im Theta360 Foto-Sharing-System sind mindestens 11 Millionen öffentliche und private Fotos betroffen, wie die Sicherheitsforscher hier schreiben. Gut, so sonderlich spannend ist es nicht, wenn Fotos eh öffentlich gepostet wurden. In der Theta360-Datenbank waren sensiblere Daten wie Standortkoordinaten zudem verschlüsselt. Trotzdem ist das eine schwerwiegende Datenschutzverletzung, die weitreichende Auswirkungen haben könnte, wenn böswillige Akteure die Möglichkeit hätten, die Datenbank herunterzuladen.

Aber es gab in der Datenbank wohl auch Fotos, die die Besitzer privat halten wollten und nicht öffentlich zur Ansicht freigegeben hatten. Auch diese Fotos waren aber mit weiteren Daten abrufbar. Und es ist sicherlich nicht im Sinne eines Benutzers, wenn private 360-Grad-Fotos seines Hausinneren (siehe unten) öffentlich abrufbar sind.

360-Grad-Foto(Quelle: vpnmentor)

Viele Benutzer, die privat Fotos zum Dienst hochluden, haben persönliche oder private Informationen nicht öffentlich freigegeben. Zum Beispiel entscheiden sich einige Eltern dafür, Bilder ihrer Kinder privat zu halten, da sie nicht wollen, dass Bilder ihrer Kinder im Internet frei verfügbar sind. Andere Eltern sind der Meinung sein, dass das Posten von Bildern ihrer Kinder eine Verletzung der Privatsphäre darstellt.

Cyber-Kriminellen geben solche Datenbestände zudem die Möglichkeit, Informationen für einen Identitätsdiebstahl vorzubereiten. Familienprivatsphäre und Identitätsdiebstahl sind aber nicht die einzigen Punkte. Unter den 11 Millionen Beiträgen auf der Plattform sind sicherlich auch illegale Fotos, die niemals veröffentlicht werden dürfen. Die Veröffentlichung illegaler Fotos kann weitreichende Folgen für die Betroffenen haben. In einigen Berufen kann dies einen Benutzer seinen Job kosten, wie z.B. bei einem Lehrer, dessen Aktbild durchsickerte. Für andere können geleakte Fotos Informationen über persönliche Angelegenheiten verraten, die eher geheim bleiben sollen.

Wie der Datenschutzverstoß entdeckt wurde

Die vpnmentor-Hacker haben das Leck in der Datenbank von Theta360 am 14. Mai 2019 durch ihr Web-Mapping-Projekt entdeckt. Unter der Leitung von Ran und Noam durchsucht das Forschungsteam Ports nach bekannten IP-Blöcken. Anhand dieser Informationen finden die Aktivisten dann offene Löcher in den Web-Systemen des Unternehmens. Sie können dann nach Lecks und anderen Schwachstellen suchen.

Nachdem das Leck entdeckt wurde, kontaktieren die Sicherheitsforscher den Eigentümer der Datenbank, um ihn über Lücken zu informieren. Theta360.com wurde am 15. Mai informiert, am 15. Mai kam eine Antwort des Anbieters zurück. Das Datenleck bei Theta360.com ist seit dem 16. Mai 2019 geschlossen. Spannend bleibt nun die Frage, ob RICOH da in Europa einen Meldung an die zuständigen Aufsichtsbehörden wegen der Datenschutzverletzung im Sinne der DSGVO macht. Und es stellt sich die Frage, ob deutsche Benutzer informiert wurden. Irgend jemand betroffen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Theta360-Datenleck: 11 Millionen privater Fotos öffentlich

  1. RUTZ-AhA sagt:

    Leute, die jeden Krümel Privatleben ins Internet hoch laden, sollten sich auch im klaren sein, dass ihr Verhalten auch mit Risiken verbunden sein kann.
    Wahrscheinlich ist ihnen gar nicht bewusst, dass sie ihre Daten in die Obhut von Fremden geben.
    Die meisten werden, wenn überhaupt, erst wach, wenn das Unheil bereits seinen Lauf genommen hat.
    Kriminalität im Internet wird von Tag zu Tag heftiger und übler. Jede Nachlässigkeit kann böse Folgen haben.
    Ob der Anbieter Ricoh/Theta-360 zur Rechenschaft gezogen werden kann, steht auch noch in Frage.

  2. Dekre sagt:

    Mal nur so –
    # Wer stellt seine Fotos im Internet rein?
    # Was will man mit 11 Mio Bildern? Gut, man kann das schon sortieren. Aber es ist doch nur ein Fall und vielen.
    Man kann ja mal im Browser in der Suche was eingeben und sich dann alleine nur die Bilder anschauen. Bei bing und google wird man da schon sehr überrascht sein, was da kommt. Das obwohl man dieses gar nicht suchte.

    Verkehrte Welt.

    • Günter Born sagt:

      Ist hier ein anderer Fall – um 360-Grad-Bilder ansehen zu können, braucht es eine Viewer-Software. Was ist als naheliegender, als die Plattform des Geräteherstellers dafür zu verwenden.

      Und das Kritische: Wenn Eltern die Bilder ihrer Kinder oder Personen anderes privat halten möchten, darf das nicht öffentlich werden. Ob es klug ist, etwas ins Internet zu stellen, was privat bleiben soll, sei mal dahingestellt.

      Aber mal Hand auf's Herz: Wer hat bei seinem Android-Smartphone noch nie einen Schreck gekriegt, weil seine Bilder scheinbar automatisch in der Cloud gelandet waren? Ich kontrolliere es immer doppelt und dreifach und finde immer mal wieder Fotos, die privat in der Cloud gecached wurden. Möglicherweise werde ich langsam zu alt für so was – postuliere aber, dass der Durchschnittsnutzer diesbzüglich noch weniger Durchblick hat.

      • Dekre sagt:

        Danke, das muss man mal richtig offensiv und aggressiv öffentlich machen und wie man sich davor schützen kann. Wie das gehen soll, wei´ß ich auch nicht. Aber Google und sein Android ist da wohl nicht die Lösung.

        Du berichtest ja schon genug in Deinem Blog.

        Ich habe damit wenig Erfahrung, da ich solches Ding nicht habe.

        Das was "in den Medien" kommt, kann man ja alles in die Tonne treten und die "wissenden" Verbraucherverbände beschäftigen sich wohl lieber mit ihrer eigenen Selbstdarstellung.

Schreibe einen Kommentar zu Dekre Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.