Uma falha de segurança expôs mais de 11 milhões de fotos tiradas por usuários da Theta, uma das principais marcas de câmeras 360 graus do mercado. A brecha estava presente no servidores de cloud computing da Ricoh, fabricante dos dispositivos, que podiam ser acessados livremente e sem senha, permitindo visualizar até mesmo imagens configuradas como privadas ou não listadas pelos clientes.

A descoberta foi feita por dois pesquisadores da vpnMentor, Noam Roten e Ran Locar, que reportaram seus achados à empresa. A Ricoh teria levado, então, cerca de um dia para fechar a abertura, com a divulgação pública da falha não mais representando perigo aos usuários dos aparelhos Theta. Entretanto, não é possível saber se a abertura foi acessada por indivíduos mal-intencionados antes disso.

Além das fotos em si, o acesso ao servidor permitia visualizar legendas e identificadores únicos atribuídos a elas, em uma abertura que foi categorizada como uma grave falha de segurança pelos pesquisadores. A privacidade dos usuários poderia ser quebrada pelo fato de imagens de suas residências, grupos de amigos, eventos de que participou e até mesmo cenas íntimas poderiam ser visualizadas desta maneira.


CT no Flipboard: você já pode assinar gratuitamente as revistas Canaltech no Flipboard do iOS e Android e acompanhar todas as notícias em seu agregador de notícias favorito.

Assim como outras fabricantes de câmeras digitais, a Ricoh permitia que seus clientes enviassem imagens diretamente da câmera para a nuvem, de onde elas poderiam ser compartilhadas em redes sociais ou enviadas a contatos. A falha, porém, acontecia a partir dos identificadores de arquivos encontrados no banco de dados, que poderiam ser usados para acesso completo a todos os dados disponíveis no servidor.

Em comunicado, a Ricoh confirmou a existência e também o fechamento da abertura, afirmando que a correção veio apenas horas depois de a empresa ser informada sobre a falha. A companhia não negou nem confirmou que 11 milhões de fotos foram expostas, mas disse que uma exploração da brecha exigia um conhecimento avançado, com o banco de dados não estando disponíveis a usuários comuns.

A fabricante também não disse por quanto tempo a falha esteve disponível. Segundo os pesquisadores responsáveis pela descoberta, o banco de dados aberto foi criado em 1º de abril, mas a falha só foi encontrada por eles em 14 de maio; a ideia, então, é que ela esteve disponível por cerca de um mês e meio. Ainda assim, os especialistas parabenizaram a Ricoh pela atitude rápida para resolver o problema e evitar colocar os usuários em risco.

Os pesquisadores da vpnMentor não baixaram o banco de dados disponível nem exploraram seu conteúdo. Ainda assim, o alerta é para que os usuários de câmeras Theta que usaram o serviço de armazenamento na nuvem tenham cautela quando a uma possível divulgação de imagens indesejadas próprias e de amigos ou familiares, bem como cenas que possam revelar coisas que eles não desejariam que viessem à tona.

Leia a matéria no Canaltech.

Trending no Canaltech: