Виробник секс-іграшок Lovense виявився причетним до витоку електронних адрес користувачів і загрози їхнім обліковим записам

Дослідник з безпеки стверджує, що виробник іграшок для дорослих Lovense не змогли повністю усунути дві уразливості, які наражають на небезпеку особисті електронні адреси користувачів та дозволяють захоплення акаунтів.

Дослідник, відомий під псевдонімом BobDaHacker, оприлюднив деталі виявлених недоліків у понеділок, після того як Lovense повідомила, що на усунення вразливостей їй знадобиться 14 місяців, щоб не створювати дискомфорт для користувачів деяких старих продуктів компанії.

Lovense є одним з найбільших виробників секс-іграшок, що підключаються до інтернету, і за оцінками має понад 20 мільйонів користувачів. У 2023 році компанія потрапила до заголовків ЗМІ як одна з перших у своїй галузі, яка інтегрувала ChatGPT у свої продукти.

Однак, існуючі ризики безпеки, пов’язані з підключенням секс-іграшок до інтернету, можуть загрожувати користувачам, якщо щось піде не так, включаючи блокування пристроїв та витоки конфіденційної інформації.

BobDaHacker повідомив, що виявив витік електронних адрес під час використання додатка Lovense. Хоча електронні адреси інших користувачів не були видимі в додатку, будь-хто, хто використовував інструмент аналізу мережі, міг побачити електронну адресу іншого користувача під час взаємодії з ним, наприклад, при вимкненні звуку.

Змінивши запит мережі з облікового запису, BobDaHacker зміг асоціювати будь-яке ім’я користувача Lovense з його зареєстрованою електронною адресою, що могло поставити під загрозу будь-якого клієнта, який зареєструвався в Lovense з ідентифікованою електронною адресою.

“Це було особливо недобре для моделей на камерах, які публічно ділять свої імена користувачів, але звичайно не хочуть, щоб їхні особисті електронні адреси були опубліковані,” написав BobDaHacker у своєму блозі.

Технічний ресурс перевірив цю вразливість, створивши новий обліковий запис на Lovense та попросивши BobDaHacker reveal зареєстровану електронну адресу, що той зробив менш ніж за хвилину. Шляхом автоматизації цього процесу з комп’ютерним скриптом дослідник стверджує, що міг отримати електронну адресу користувача менш ніж за секунду.

BobDaHacker також повідомив, що друга вразливість дозволила йому захопити акаунт будь-якого користувача Lovense, використовуючи лише їхню електронну адресу, яку можна було отримати з попереднього багу. Ця вразливість дозволяє створювати токени автентифікації для доступу до акаунту Lovense без пароля, що дозволяє зловмиснику дистанційно контролювати акаунт як справжній користувач.

“Моделі на камерах використовують ці інструменти для роботи, тому це було великою проблемою. Літерално будь-хто міг захопити будь-який акаунт, просто знаючи електронну адресу,” зазначив BobDaHacker.

Ці уразливості впливають на всіх, хто має акаунт або пристрій Lovense.

BobDaHacker повідомив про вразливості Lovense 26 березня через проект Internet of Dongs, що має на меті поліпшення безпеки та конфіденційності секс-іграшок і допомагає повідомляти про вразливості виробникам пристроїв.

Згідно з BobDaHacker, він отримав суму в $3,000 через платформу винагород за вразливості HackerOne. Але після кількох тижнів спілкування про те, чи дійсно вразливості були виправлені, дослідник вирішив перейти до публічного розкриття на цьому тижні, оскільки Lovense запросила 14 місяців на виправлення. (Зазвичай дослідники безпеки дають постачальникам три місяці або менше для виправлення уразливості перед публікацією своїх висновків.) Компанія повідомила BobDaHacker в тому ж електронному листі, що вона відмовилася від “швидшого, місячного виправлення”, яке вимагало б примусової оновлення додатків для клієнтів, які користуються старими продуктами.

Дослідник попередив компанію перед публікацією, згідно з електронним листом, який був переглянутий технічним ресурсом. BobDaHacker написав у блозі у вівторок, що можливий баг міг бути ідентифікований іншим дослідником ще в вересні 2023 року, але нібито він був закритий без виправлення.

Компанія Lovense не відповіла на електронний лист, надісланий перед публікацією. Після публікації представник Lovense зазначив, що баг із захопленням акаунту “тепер повністю усунено”, а баг із витоком електронної адреси буде виправлено в оновленні, яке планується “випустити для всіх користувачів протягом наступного тижня.” Представник не змогла підтвердити, чи буде компанія публічно повідомляти своїх клієнтів про вразливості.

Оновлено з коментарем від Lovense.