Lovense, pembuat mainan seks yang terhubung ke internet, email kiri yang diekspos selama berbulan-bulan-bahkan setelah menyadari kerentanan. Di dalam posting blog tutul oleh TechCrunch Dan Komputer bleepingPeneliti Keamanan Bobdahacker menemukan bahwa mereka dapat “mengubah nama pengguna apa pun menjadi alamat email mereka,” yang kemudian dapat mereka gunakan untuk mengambil alih akun seseorang.
Meskipun Bobdahacker awalnya mengungkapkan kerentanan ini terhadap Lovense pada bulan Maret, peneliti mengklaim Lovense menunggu berbulan -bulan sebelum memperbaikinya, dan masih belum sepenuhnya membahas masalah ini. Lovense berada di balik berbagai mainan seks yang dapat dihubungkan pengguna ke internet dan mengontrol dari jarak jauh melalui aplikasinya, yang mendapat kecaman karena “bug kecil” pada tahun 2017 itu sesi seks pengguna yang direkam.
Sebagaimana diuraikan dalam posting Bobdahacker, peneliti keamanan memperhatikan sesuatu yang aneh dalam respons API aplikasi ketika membisukan seseorang: itu menyajikan alamat email mereka. Bobdahacker kemudian menemukan bahwa mereka dapat memanfaatkan kerentanan ini dengan mengirimkan permintaan yang dimodifikasi ke server Lovense, menipu untuk mengembalikan alamat email pengguna target.
Bobdahacker bahkan mengembangkan skrip yang mereka katakan dapat mengubah nama pengguna seseorang menjadi alamat email dalam waktu kurang dari satu detik. “Ini sangat buruk bagi model cam yang berbagi nama pengguna mereka secara publik tetapi jelas tidak ingin email pribadi mereka terbuka,” tulis Bobdahacker. Lebih buruk lagi, Bobdahacker kemudian menemukan bahwa mereka dapat mengambil alih akun pengguna dengan alamat email mereka dan token otentikasi yang dihasilkan oleh Lovense.
Bobdahacker awalnya melaporkan kerentanan ini dalam kemitraan dengan Internet of Dongs, sebuah kelompok yang bertujuan untuk membuat mainan seks yang terhubung ke internet lebih aman. Namun, peneliti keamanan mengatakan Lovense tidak segera memperbaiki masalah ini. Sebaliknya, Lovense mengklaim bahwa bug pengambilalihan akun telah diperbaiki pada bulan April, meskipun Bobdahacker mengatakan itu tidak, dan bahwa perbaikan untuk masalah kebocoran email akan memakan waktu 14 bulan untuk diluncurkan.
“Kami juga mengevaluasi perbaikan yang lebih cepat, satu bulan. Namun, itu akan membutuhkan pemaksaan semua pengguna untuk segera meningkatkan, yang akan mengganggu dukungan untuk versi warisan,” kata Lovense, menurut Bobdahacker. Seperti dicatat oleh Bobdahacker, peneliti keamanan melaporkan akun pengambilalihan akun yang sama ke Lovense pada tahun 2023, tetapi perusahaan tampaknya telah menutup bug tanpa benar -benar memperbaikinya.
Dalam sebuah pernyataan untuk Komputer bleepingLovense mengatakan telah mengirimkan pembaruan aplikasi “menangani kerentanan terbaru” ke toko aplikasi. “Pembaruan lengkap diharapkan akan didorong ke semua pengguna dalam minggu depan,” kata Lovense. “Setelah semua pengguna memperbarui ke versi baru dan kami menonaktifkan versi yang lebih lama, masalah ini akan sepenuhnya diselesaikan.” Lovense tidak segera menanggapi The VergePermintaan komentar.
Ikuti topik dan penulis Dari cerita ini untuk melihat lebih banyak seperti ini di umpan beranda pribadi Anda dan untuk menerima pembaruan email.
