Lovense, производителят на свързани с интернет секс играчки, е оставил потребителски имейли изложени на риск в продължение на месеци – дори след като е разбрал за уязвимостта. В публикация в блог, забелязана от TechCrunch и Bleeping Computer, изследователят по сигурността BobDaHacker е установил, че може да „превърне всяко потребителско име в съответния имейл адрес“, който след това би могъл да използва, за да поеме контрол над акаунт на някого.
Въпреки че BobDaHacker първоначално е разкрил тази уязвимост на Lovense през март, изследователят твърди, че Lovense е изчакал месеци, преди да я поправи, и все още не е отстранил напълно проблема. Lovense стои зад редица секс играчки, които потребителите могат да свързват с интернет и да контролират дистанционно чрез приложението си, което през 2017 г. попадна под прицел заради „малък бъг“, който записваше секс сесиите на потребителите.
Както е описано в публикацията на BobDaHacker, изследователят по сигурността е забелязал нещо странно в отговора на API на приложението при заглушаване на някого: то показвало техния имейл адрес. След това BobDaHacker е разбрал, че може да се възползва от тази уязвимост, като изпрати модифицирана заявка до сървърите на Lovense, подмамвайки ги да върнат имейл адреса на целевия потребител.
BobDaHacker дори е разработил скрипт, за който твърди, че може да преобразува потребителско име в имейл адрес за по-малко от секунда. „Това е особено лошо за камерни модели, които споделят публично потребителските си имена, но очевидно не желаят личните им имейли да бъдат изложени“, пише BobDaHacker. За да влоши нещата, BobDaHacker по-късно е открил, че може да поеме контрол над потребителски акаунт с неговия имейл адрес и токен за удостоверяване, генериран от Lovense.
BobDaHacker първоначално е докладвал тези уязвимости в партньорство с Internet of Dongs, група, която цели да направи свързаните с интернет секс играчки по-сигурни. Въпреки това, изследователят по сигурността казва, че Lovense не е поправил проблема незабавно. Вместо това, Lovense твърди, че бъгът за поемане на акаунт е бил поправен през април, въпреки че BobDaHacker заявява, че не е, и че отстраняването на проблема с изтичането на имейли ще отнеме 14 месеца.
„Оценихме и по-бързо решение за един месец. То обаче би изисквало принудително надграждане на всички потребители незабавно, което би нарушило поддръжката за стари версии“, каза Lovense, според BobDaHacker. Както отбелязва BobDaHacker, изследователи по сигурността са докладвали същия бъг за поемане на акаунт на Lovense още през 2023 г., но изглежда компанията е затворила бъга, без всъщност да го поправи.
В изявление пред Bleeping Computer, Lovense казва, че е подал актуализация на приложението, „адресираща най-новите уязвимости“, до магазините за приложения. „Очаква се пълната актуализация да бъде разпространена до всички потребители през следващата седмица“, казва Lovense. „След като всички потребители актуализират до новата версия и деактивираме по-старите версии, този проблем ще бъде напълно разрешен.“ Lovense не отговори незабавно на искането на The Verge за коментар.
