Erotyczne gadżety, publiczne maile. Lovense zalicza wpadkę bezpieczeństwa
Kłopoty popularnego producenta gadżetów dla dorosłych.
Producent zabawek erotycznych Lovense, z bazą ponad 20 milionów użytkowników, został przyłapany na ujawnianiu adresów e-mail i narażaniu kont użytkowników na przejęcia. Firma poprosiła o… 14 miesięcy na usunięcie usterek!
Dwa poważne błędy w Lovense
Seksualne zabawki od Lovense mogą być sterowane przez internet. Nie muszę chyba więc mówić, jak ważne w tym przypadku powinno być bezpieczeństwo i anonimowość użytkownika. Niestety, ale jest wręcz przeciwnie. Badacz o pseudonimie BobDaHacker ujawnił, że aplikacja Lovense ujawnia adresy e-mail użytkowników każdemu, kto nasłuchuje dane API, np. podczas używania funkcji „wyciszania”. Co więcej, możliwe jest powiązanie dowolnej nazwy użytkownika z przypisanym adresem e-mail w czasie krótszym niż sekunda. Błędy dotyczą każdego posiadacza konta lub urządzenia Lovense.
To nie jedyny poważny błąd w serwisie. BobDaHacker odkrył drugi błąd. Tym razem był to błąd umożliwiający generowanie tokenów uwierzytelniających bez hasła, mając jedynie adres e-mail. Jak się już pewnie domyślacie, dotyczyć to też mogło świeżo poznanych adresów. Dzięki temu możliwe było przejęcie kont bez jakiejkolwiek interakcji z użytkownikiem.
Modelki kamerkowe używają tych narzędzi w pracy, więc to była ogromna sprawa. Dosłownie każdy mógł przejąć dowolne konto, znając tylko adres e-mail – powiedział BobDaHacker
BobDaHacker ujawnił błędy Lovense’owi 26 marca za pośrednictwem Internet of Dongs, projektu, którego celem jest poprawa bezpieczeństwa i prywatności zabawek erotycznych. Firma początkowo deklarowała naprawienie usterek, jednak po wymianie wiadomości z badaczem bezpieczeństwa poprosiła o 14 miesięcy na usunięcie usterek. Jak pisze Techcrunch, firma poinformowała BobDaHackera w tym samym e-mailu, że zrezygnowała z „szybszej, trwającej miesiąc naprawy”, która wymagałaby od klientów korzystających ze starszych produktów natychmiastowej aktualizacji aplikacji. Po tych informacjach BobDaHacker zdecydował się upublicznić problem.
Na koniec pamiętajcie, że jeżeli decydujecie się na podłączenie zabawek erotycznych do Internetu, to możecie narazić się na takie nieprzyjemności jak zablokowanie urządzenia, jego działanie w nieprzewidywalny sposób czy wyciek danych osobowych. Jeśli nie chcecie, żeby w tak wrażliwej kwestii, jak Wasze życie seksualne, Wasze dane pojawiły się w sieci, to pamiętajcie o podstawowych kwestiach bezpieczeństwa, takich jak unikalny adres email czy unikalne hasło. Nie zapobiegnie to wyciekom, ale może zminimalizować ich konsekwencje.
