חוקרים ישראלים גילו פרצת רשת שחשפה 11 מיליון תמונות פרטיות

פרצת אבטחה במערכת שיתוף התמונות Theta360 של חברת Ricoh היפנית חשפה ברשת 11 מיליון תמונות פרטיות של אלפי משתמשים - כך חושפים חוקרי האבטחה של vpnMentor, אתר ביקורות VPN בינלאומי שממוקם בישראל.

את זיהוי הפרצה הובילו בעבור האתר ההאקרים נעם רותם ורן לוקאר. לדבריהם, הפרצה חשפה תמונות שמשתמשים ביקשו לשמור כפרטיות, שמות משתמש, שם מלא וכיתוב לתמונות. שום מידע אישי אחר לא נחשף בפרצה, והחוקרים גם לא הצליחו להגיע לחשבונות המדיה החברתית של המשתמשים באמצעות מערכת השיתוף. הפרצה תוקנה זמן קצר לאחר הפנייה לחברה.

Ricoh היא מהיצרניות המובילות בעולם של מצלמות 360 מעלות, עם מכירות של 160 אלף יחידות ב-2016 וצפי למכירות של רבע מיליון יחידות השנה. משתמשי המצלמות יכולים לאחסן ולשתף את התמונות שלהם בשירות מיוחד בשם Theta360. לדברי החוקרים, הפרצה שזיהו בשירות אפשרה להם לצפות ביותר מ-11 מיליון תמונות לא מוצפנות, וכן לזהות מידע אישי על מפרסם התמונה, בין אם הוגדרו כפרטיות ובין אם כציבוריות.

בין המידע שנחשף נכלל גם ה-UUID, קוד מזהה אוניברסלי ייחודי שמוצמד לכל תמונה. "באמצעות הכנסת ה-UUID למאגר מידע ייעודי, יכולנו לגשת לכל התמונות שנחשפו", כתבו החוקרים בפוסט שהציג את הפרצה. "במקרים מסוימים יכולנו לחברה את שמות המשתמש לחשבונות מדיה חברתית. גישה לתמונות פומביות אולי לא נשמעת כמו פרצת אבטחת מסיבית, ואולם מדובר בפגיעה חמורה בפרטיות. בנוסף, באמצעות אותה שיטה ניתן היה להגיע לתמונות מהפרופיל הפרטי של המשתמשים".

לדברי החוקרים, לפרצה יכולות להיות השלכות מהותיות על ביטחון המשתמשים: "משתמשים רבים שמעלים תמונות כפרטיות עושים זאת על מנת להסתיר מידע אישי או פרטי. למשל, יש הורים שבוחרים להגדיר תמונות של הילדים שלהם כפרטיות, מכיוון שהוא לא רוצים שהן יהיו זמינות בצורה חופשית ברשת. הורים אחרים אולי סבורים שפרסום תמונות של הילדים שלהם מהווה פגיעה בפרטיות. פרצות כאלו יכולות לספק לשחקנים רעים את המידע שדרוש על מנת לגנוב זהות".

הפרצה, אומרים החוקרים, חשפה גם תמונות בעייתיות, ובהן תמונות אירוטיות של משתמשים: "לפרסום תמונות כאלו יכולה להיות השפעה מרחיקת לכת. במקצועות מסוימים הדבר יכול להוביל לאיבוד עבודה, כמו שהיה במקרה של מורה שתמונות העירום של הודלפו. בשביל אחרים, תמונות מודלפות עלולות לחשוף מידע על רומן או אפילו חופשה סודית".

אחרי זיהוי הפרצה פנו החוקרים לחברה, שלדבריהם הגיבה בצורה מהירה וסגרה אותה בתוך 24 שעות. "בניגוד להרבה גופים אחרים להם אנחנו מדווחים, הפעם נתקלנו במנגנון יעיל ומקצועי לעילא שקיבל את הדיווח, שאל את השאלות הנכונות, ופעל לטיפול מיידי ונכון כמו גם להפקת לקחים לעתיד", אמר רותם ל"כלכליסט".

מ- Ricoh נמסר בתגובה ל-TechCrunch: "קיבלנו לאחרונה התרעה על בעיית קונפיגורציה שתוקנה בתוך שעות. אנחנו מתייחסים לבטיחות מידע לקוחות ברצינות המרבית".