Lovense повідомили про витік електронних адрес користувачів їхнього додатку для іграшок та відсутність виправлення проблеми

Lovense повідомили про витік електронних адрес користувачів їхнього додатку для іграшок та відсутність виправлення проблеми

Компанія Lovense, яка спеціалізується на виробництві інтернет-зв’язаних секс-іграшок, протягом кількох місяців залишала електронні адреси користувачів під загрозою, навіть після виявлення вразливості. В блозі, на який звернув увагу один з фахівців з безпеки, було зазначено, що вони могли “перетворити будь-яке ім’я користувача на їх електронну адресу”, що дозволяло їм захоплювати облікові записи інших людей.

Фахівець з безпеки BobDaHacker вперше повідомив Lovense про цю вразливість у березні, але стверджує, що компанія затримала виправлення на кілька місяців. Lovense відома своїми секс-іграшками, які користувачі можуть підключати до інтернету і дистанційно контролювати через додаток. У 2017 році компанія також зазнала критики через “несуттєву помилку”, яка записувала інтимні сеанси користувачів.

У своєму пості BobDaHacker зазначив, що виявив дивну поведінку у відповіді API додатку під час відключення користувача: він демонстрував їх електронну адресу. Після цього він зрозумів, що може скористатися цією вразливістю, відправляючи змінену запит до серверів Lovense, тим самим змушуючи їх повертати електронну адресу цільового користувача.

Фахівець навіть розробив скрипт, який, за його словами, може перетворити ім’я користувача на електронну адресу менш ніж за секунду. “Це особливо погано для моделей веб-камер, які публічно діляться своїми іменами користувачів, але, зрозуміло, не хочуть, щоб їхні особисті електронні адреси стали доступними”, – написав BobDaHacker. Щоб ускладнити ситуацію, він також виявив, що може захопити обліковий запис користувача, маючи його електронну адресу та токен автентифікації, згенерований Lovense.

Хоча BobDaHacker стверджує, що Lovense виправила вразливість, яка дозволяла витік електронних адрес, і тепер блокує спроби захоплення облікових записів із токеном автентифікації, на вирішення проблеми компанії знадобилося кілька місяців та значний тиск з боку громадськості.

BobDaHacker спочатку повідомив про ці вразливості у співпраці з організацією, яка прагне зробити секс-іграшки, підключені до інтернету, більш безпечними. Проте фахівець зазначає, що Lovense не відразу усунула цю проблему. Натомість компанія стверджувала, що помилка захоплення облікових записів була виправлена в квітні, хоча BobDaHacker заперечував це, а також вказував, що виправлення проблеми з витоками електронних адрес може зайняти 14 місяців.

Lovense зазначила, що також розглядала можливість швидшого виправлення протягом одного місяця. Однак це вимагало б примусового оновлення всіх користувачів, що призвело б до перешкод у підтримці старих версій. Як зазначається BobDaHacker, інші фахівці з безпеки повідомляли про ці проблеми в 2022 та 2023 роках, але компанія, схоже, закрила вразливість, не усунувши її дійсно.

У коментарі Lovense підтвердила, що всі помилки були виправлені. Генеральний директор компанії зазначив, що запланований план тривалої реконструкції системи на 14 місяців було завершено набагато раніше терміну завдяки зусиллям команди, додавши, що “немає жодних доказів того, що дані користувачів, включаючи електронні адреси або інформацію облікового запису, були компрометовані або зловжиті”.