Lovense'e seks oyuncak uygulamasının kullanıcıların e -postalarını sızdırdığı söylendi ve düzeltmedi

İnternet bağlantılı seks oyuncaklarının üreticisi Lovense, güvenlik açığının farkına vardıktan sonra bile aylarca maruz kalan kullanıcı e-postaları bıraktı. İçinde Bir blog yazısı benekli ile TechCrunch Ve Bapa Bilgisayargüvenlik araştırmacısı Bobdahacker, daha sonra birinin hesabını devralmak için kullanabilecekleri “herhangi bir kullanıcı adını e -posta adresine dönüştürebileceklerini” buldu.
Bobdahacker başlangıçta Mart ayında Lovense'e karşı bu kırılganlığı açıklasa da, araştırmacı Lovense'in düzeltmeden önce aylar beklediğini ve sorunu hala tam olarak ele almadığını iddia ediyor. Lovense, kullanıcıların internete bağlanabileceği ve 2017'de “küçük bir hata” için ateş altına giren bir dizi seks oyuncakının arkasında. Kaydedilen Kullanıcıların Seks Oturumları.
Bobdahacker'ın gönderisinde belirtildiği gibi, güvenlik araştırmacısı birisini kapatırken uygulamanın API yanıtında garip bir şey fark etti: e -posta adreslerini sundu. Bobdahacker daha sonra Lovense'in sunucularına değiştirilmiş bir istek göndererek bu güvenlik açığından yararlanabileceklerini ve hedef kullanıcının e -posta adresini döndürmeye kandırarak anladı.
Bobdahacker, birinin kullanıcı adını bir saniyeden daha kısa bir sürede bir e -posta adresine dönüştürebileceğini söyledikleri bir senaryo bile geliştirdi. Bobdahacker, “Bu, özellikle kullanıcı adlarını kamuya paylaşan ancak açıkçası kişisel e -postalarının maruz kalmasını istemeyen CAM modelleri için kötü” diyor. Daha da kötüsü, Bobdahacker daha sonra e -posta adresleri ve Lovense tarafından oluşturulan bir kimlik doğrulama jetonu ile bir kullanıcının hesabını devralabileceklerini keşfetti.
Bobdahacker başlangıçta bu güvenlik açıklarını, internete bağlı seks oyuncaklarını daha güvenli hale getirmeyi amaçlayan bir grup olan Dongs İnterneti ile ortaklaşa bildirdi. Ancak, güvenlik araştırmacısı Lovense'in sorunu hemen çözmediğini söylüyor. Bunun yerine, Lovense, Bobdahacker'ın olmadığını ve e -posta sızıntısı sorununun bir düzeltmesinin sunulması 14 ay süreceğini söylemesine rağmen, hesap devralma hatasının Nisan ayında düzeltildiğini iddia etti.
Lovense, Bobdahacker'a göre, “Ayrıca daha hızlı, bir aylık bir düzeltmeyi de değerlendirdik. Ancak, tüm kullanıcıları derhal yükseltmeye zorlamayı gerektirecek, bu da eski sürümler için desteği bozacak” dedi. Bobdahacker tarafından belirtildiği gibi, güvenlik araştırmacıları 2023'te aynı hesabın devralma hatasını Lovense'e bildirdi, ancak şirket hatayı gerçekten düzeltmeden kapatmış gibi görünüyor.
Bir açıklamada Bapa BilgisayarLovense, uygulama mağazalarına “en son güvenlik açıklarını ele alan” bir uygulama güncellemesi gönderdiğini söylüyor. Lovense, “Güncellemenin tam önümüzdeki hafta içinde tüm kullanıcılara itilmesi bekleniyor” diyor. “Tüm kullanıcılar yeni sürüme güncelledikten ve eski sürümleri devre dışı bıraktıktan sonra, bu sorun tamamen çözülecek.” Lovense hemen cevap vermedi Eşekyorum isteği.
Source link
Yorumlar
Henüz yorum yok. İlk yorumu siz yazın!