リコーが発売している360度カメラのRICOH THETAで撮影された数百万枚の写真(一部はプライベートで非公開)が、パスワードのないオープンなデータベース上で公開されているところをセキュリティー研究者が発見した。
Noam Rotem氏とRan Locar氏はネットに漏洩しているデータベースを発見し、リコーに報告。データベースはその日のうちに保護された。印刷テクノロジーの巨人は、2014年の発売以来360度カメラを数多く販売してきた。ユーザーは自分が撮った写真やビデオをクラウドにアップロードしてシェアできる。
しかしそのクラウドデータベースが世間に晒されていたのだ。報告したRotem氏とLocar氏は今回の件をブログにも書いている。データベースをアクセスできる人なら誰でも保管されている1100万枚の写真をアクセスできた。
研究者らは検証のためにデータのサンプルをTechCrunchに提供した。我々はデータベースで見つけた一意のファイル識別子を、クラウドのストレージサーバーのウェブアドレスに埋め込むことによって、リコーのウェブサイトにアップロードされたプライベート写真を簡単にアクセスできた。
ユーザーの名前やキャプションを読めるものもあった。
リコーの広報担当者であるJohn Greco氏に問い合わせたところ、研究者らの1100万枚という数字を否定せず、データが露出したことを認めた。
「リコーはこの問題を最近認識し、数時間以内に修復した。我々は顧客情報のセキュリティーを極めて重要と考えている。なお、実際に画像を見るためにはレコードをアクセスする以上の操作と高度な専門知識が必要であることを伝えておきたい。現在、プライベート写真は直リンクを経由してのみアクセスが可能であり、ユーザーが画像を共有する際にはこの方法を使うことを意図している」とGreco氏はコメントしている。
後にリコーは、直リンクによる写真のアクセスを無効にしたことを広報担当者がメールで通知してきた。Rotem氏とLocar氏はこの事象を「重大なプライバシー侵害」であると指摘した。
リコーはデータベースがどれだけの期間漏洩していたかを明らかにしていない。データベースのビルド日付を見ると4月1日に作られたことが想像される。しかし、漏洩したIoTデバイスやデータベース情報のデータベースであるShodanは5月9日に問題のデータベースを発見した。
研究者らが漏洩を見つけたのは、データベース作成から1カ月以上たった5月14日だったが、同社の早い対応を称賛した。
関連記事
[原文へ]
(翻訳:Nob Takahashi / facebook )