Menü

Datenleck bei Foto-Sharing-Plattform Theta360 – 11 Millionen Fotos abrufbar

Hacker haben eine Lücke bei Ricohs Foto-Portal Theta360 gefunden, über die unzählige Fotos abrufbar waren – auch private. Das Problem wurde behoben.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge
Von

Bei der von Ricoh für 360-Grad-Kameras betriebenen Foto-Sharing-Plattform Theta360.com gab es eine Datenpanne. Dritte hätten mindestens 11 Millionen öffentliche und private Fotos von unzähligen Nutzern abrufen können. Unter der Marke Theta360 bietet der japanische Elektronikkonzern unterschiedliche Modelle von 360-Grad-Kameras an, die werden auf dem deutschen Markt etwa über Amazon, Conrad, Media Markt und weitere Händler angeboten.

Um Besitzern der Geräte das Teilen der 360-Grad-Aufnahmen zu ermöglichen, hat der japanische Hersteller seinen Foto-Sharing-Dienst Theta360 aufgesetzt. Nach einer Anmeldung können Nutzer ihre Aufnahmen hochladen, kommentieren und gegebenenfalls öffentlich teilen.

Aber nicht jeder Benutzer dieser Plattform gibt die 360-Grad-Aufnahmen auch öffentlich frei. Manche 360-Grad-Bilder werden nur zur privaten Verwendung hochgeladen und sollen dies nach dem Willen der Besitzer auch bleiben.

Beispiel für einen Datenbank-Eintrag

Einem Team von White Hat-Hackern, die sich selbst als Hacktivisten bezeichnen, ist nun die offene Benutzerdatenbank in Theta360 aufgefallen. Durch das Einfügen der UUID von Fotos in die betreffende Elasticsearch-Datenbank konnten die Sicherheitsforscher auf alle eingestellten Aufnahmen, aber auch weitere Daten fremder Nutzer zugreifen.

Dabei waren neben den privaten und öffentlichen Fotos auch folgende Daten von Benutzerkonten abrufbar:

  • Der Name des Benutzers
  • Der User-Name zur Anmeldung bei der Plattform
  • UUID (Universal Unique Identifier) jedes geposteten Fotos
  • Bildunterschrift für jedes Foto
  • Datenschutzeinstellungen

In einigen Fällen ließen sich die Benutzernamen in der Datenbank problemlos mit dem Social Media-Konto des betreffenden Benutzers verbinden. Eine Identifizierung wäre also leicht möglich.

Von diesem Datenleck sind mindestens 11 Millionen öffentliche und private Fotos betroffen, wie die Sicherheitsforscher für VPNMentor schreiben. Die Hacktivisten stufen den Vorfall als schwerwiegend ein, da manche Benutzer sehr private Fotos hochgeladen, aber nie öffentlich geteilt hätten – im Glauben, dass diese niemals öffentlich einsehbar sind. Dazu gehören wohl Aufnahmen, die Eltern anfertigten und auf denen ihre Kinder zu sehen sind. Hochgeladen worden seien auch 360-Grad-Ansichten privater Räume, die nichts in der Öffentlichkeit zu suchen haben.

Nach solchen Lücken hatten die Hacker im Auftrag von VPNMentor gesucht, einem Anbieter von VPN-Diensten. Der will so Schwachstellen im Web ausfindig machen. Die Hacktivisten haben Theta360 am 15. Mai über das Datenleck informiert, woraufhin die Lücke einen Tag später geschlossen worden sei. Es ist aktuell unbekannt, ob Dritte die Schwachstelle ausgenutzt haben und ob Ricoh in Europa eine DSGVO-Meldung an die zuständigen Aufsichtsbehörden abgesetzt hat. (Günter Born) / (mho)