Millones de fotos tomadas por los propietarios de cámaras Theta, algunas privadas y no listadas, quedaron expuestas después de que los investigadores de seguridad encontraron una base de datos abierta sin contraseña.
Noam Rotem y Ran Locar encontraron la base de datos con fugas e informaron la exposición a Ricoh, que aseguró la base de datos en un día. El gigante de la tecnología de impresión ha vendido miles de cámaras de 360 grados desde el debut del dispositivo en 2014. Los usuarios pueden cargar y compartir sus fotos y videos en la nube usando la cámara.
Pero esa base de datos en la nube quedó abierta de par en par, dijeron Rotem y Locar, que también escribió sus hallazgos. Cualquiera con acceso a la base de datos podría haber accedido fácilmente a cualquiera de los 11 millones de fotos almacenadas en línea.
Los investigadores compartieron una muestra de los datos con TechCrunch para verificar. Pudimos acceder fácilmente a fotos privadas y no listadas cargadas en el sitio web de Ricoh trasplantando a la dirección web del servidor de almacenamiento en la nube el identificador de archivo único que se encuentra en la base de datos.
En algunos casos, también se podían ver el nombre y los subtítulos del usuario.
Una de las cámaras Theta de 360 grados fabricadas por Ricoh (Imagen: Andreas Rentz / Getty Images)
Cuando se le preguntó, el portavoz de Ricoh, John Greco, no cuestionó la cifra de 11 millones de los investigadores, pero confirmó la exposición: “Ricoh fue notificado recientemente de este problema de configuración y lo corrigió en cuestión de horas”.
“Nos tomamos muy en serio la seguridad de la información del cliente. Es importante tener en cuenta que antes de la resolución, habrían sido necesarios pasos adicionales más allá del acceso a los registros y se requeriría un nivel más profundo de experiencia para ver las imágenes en última instancia. Hoy en día, las fotos privadas solo son accesibles para aquellos con un enlace directo, una característica de diseño que está destinada a permitir que los clientes compartan sus imágenes ”, dijo Greco.
Ricoh luego retiró el acceso a las fotos con enlaces directos, señaló el portavoz en un correo electrónico posterior.
Rotem y Locar calificaron la exposición como una “violación importante de la privacidad”.
Ricoh no dijo cuánto tiempo estuvo expuesta la base de datos. La fecha de creación de la base de datos sugiere que se creó el 1 de abril. Pero Shodan, una base de datos para dispositivos y bases de datos expuestos, descubrió la base de datos por primera vez el 9 de mayo.
Los investigadores descubrieron la exposición más de un mes después, el 14 de mayo, pero elogiaron a la compañía por su rápida corrección.
Lee mas:
Source link