Исследователь в области безопасности заявил, что компания Lovense, производитель секс-игрушек, не устранила две уязвимости, позволяющие раскрыть личные email-адреса пользователей и получить контроль над их аккаунтами.
Исследователь под псевдонимом BobDaHacker опубликовал детали уязвимостей в своем блоге [https://bobdahacker.com/blog/lovense-still-leaking-user-emails] после того, как Lovense сообщила, что для исправления проблем потребуется 14 месяцев, чтобы не создавать неудобств пользователям устаревших продуктов.
Lovense, одна из крупнейших компаний по производству интернет-подключенных секс-игрушек, насчитывает более 20 млн пользователей [https://www.ean-online.com/company-news/lovense-triumphs-with-a-20-million-jury-award-in-ip-conflict/]. В 2023 году компания привлекла внимание, став одним из первых производителей, интегрировавших ChatGPT в свои устройства [https://techcrunch.com/2023/07/05/lovense-chatgpt-pleasure-companion/].
Однако подключение секс-игрушек к интернету несет риски для пользователей, включая блокировку устройств [https://techcrunch.com/2020/10/06/qiui-smart-chastity-sex-toy-security-flaw/] и утечки данных [https://techcrunch.com/2023/09/02/smart-chastity-cage-emails-passwords-location/].
BobDaHacker обнаружил, что приложение Lovense раскрывало email-адреса других пользователей через сетевой трафик. Хотя адреса не отображались в интерфейсе, их можно было перехватить с помощью инструментов анализа данных при выполнении действий вроде блокировки пользователя. Модифицируя сетевые запросы, исследователь смог связывать публичные имена аккаунтов с зарегистрированными email-адресами.
«Это особенно опасно для веб-моделей, которые публикуют свои имена, но хотят сохранить email в тайне», — пояснил BobDaHacker. TechCrunch проверил уязвимость: исследователь смог определить email нового тестового аккаунта за минуту, а автоматизация сократила процесс до секунды.
Вторая уязвимость позволяла захватить любой аккаунт, используя email (полученный через первую брешь), создавая токены авторизации без пароля. «Любой мог получить контроль над аккаунтом, что критично для моделей, использующих эти устройства в работе», — заявил исследователь.
Уязвимости затрагивают всех пользователей Lovense. BobDaHacker сообщил о проблемах компании 26 марта через проект Internet of Dongs [https://internetofdon.gs/about/], который помогает устранять уязвимости в интимных устройствах [https://internetofdon.gs/lovense/].
Исследователь получил $3,000 через платформу HackerOne, но после споров о фиксации уязвимостей обнародовал данные. Lovense запросила 14 месяцев на исправление, отказавшись от «быстрого решения», требующего обновления приложений для старых устройств.
В электронном письме, полученном TechCrunch, компания была уведомлена о публикации. BobDaHacker также отметил, что аналогичная уязвимость могла быть обнаружена другим исследователем в сентябре 2023 года, но не была устранена.
Lovense не ответила на запрос TechCrunch.