Ураза безпеки в Lovense: несправний захист користувачів

Виробник інтернет-підключених секс-іграшок Lovense залишив електронні адреси своїх користувачів без захисту протягом декількох місяців, навіть після того, як виявив вразливість. Дослідник безпеки на ім’я BobDaHacker виявив, що мав можливість “перетворити будь-яке ім’я користувача на його електронну адресу”, що потенційно дозволяло захоплювати облікові записи.

BobDaHacker вперше повідомив про цю вразливість Lovense у березні, проте стверджує, що компанія витратила багато часу на її виправлення. Lovense розробляє ряд секс-іграшок, які можна підключати до Інтернету і керувати ними віддалено через свій додаток. У 2017 році компанія вже отримувала критику за “незначну помилку”, яка записувала сеанси користувачів.

Виявлення вразливості

У повідомленні BobDaHacker зазначається, що дослідник помітив дивну поведінку у відповіді API програми при заглушенні когось: вона видавала електронну адресу. Дослідник зрозумів, що може скористатися цією вразливістю, надіславши змінену запит до серверів Lovense, в результаті чого вони отримують електронну адресу користувача, за яким стежать.

BobDaHacker навіть розробив скрипт, який, за його словами, може перетворити ім’я користувача на електронну адресу менш ніж за секунду. “Це особливо небезпечно для моделей на камері, які публічно діляться своїми іменами, але, звичайно, не хочуть, щоб їх особисті електронні адреси стали відомими,” — зазначив BobDaHacker. Щоб ускладнити ситуацію, дослідник пізніше виявив, що з електронною адресою і токеном аутентифікації, згенерованим Lovense, можна захопити обліковий запис користувача.

Виправлення помилок

Хоча BobDaHacker заявляє, що Lovense виправила проблему з витоком електронних адрес і тепер блокує спроби захоплення облікових записів, для компанії знадобилося кілька місяців — і значний громадський тиск — щоб реалізувати цю виправлення.

Дослідник спершу повідомив про ці вразливості разом з групою Internet of Dongs, метою якої є підвищення безпеки інтернет-підключених сексуальних іграшок. Проте BobDaHacker стверджує, що Lovense не відразу виправила проблему. Компанія повідомила, що помилка захоплення облікового запису була усунена в квітні, хоча BobDaHacker запевняє, що цього не сталося, а виправлення проблеми з витоком електронних адрес вимагали 14 місяців для впровадження.

Реакція Lovense

“Ми також розглянули можливість швидшого виправлення за один місяць. Проте це вимагало б примусового оновлення всіх користувачів, що ускладнило б підтримку старих версій,” — зазначила компанія Lovense. Згідно з BobDaHacker, інші дослідники безпеки повідомляли про ці проблеми у 2022 і 2023 роках, але компанія, здається, закрила цю помилку без фактичного її виправлення.

У заяві Lovense підтверджує, що бага було виправлено. Генеральний директор компанії Дан Лю зазначає, що “первісно запланований план реконструкції системи на 14 місяців було виконано набагато раніше терміни завдяки зусиллям команди та збільшенню ресурсів”, додавши, що “немає жодних доказів того, що дані користувачів, включаючи електронні адреси або інформацію про облікові записи, були скомпрометовані чи неправильно використані.”