Kupiłeś zabawkę erotyczną? Możesz mieć duży problem

Uwagę na problem zwrócił vx-undeground na X-ie, który napisał obszerny artykuł na ten temat. Jak się okazuje, Lovense, czyli ulokowany w Singapurze producent erotycznych gadżetów, oferuje oprogramowanie z dziurami o rozmiarach porównywalnych do tych, które można znaleźć w niektórych z jego "zabawek". W teorii wystarczył jeden prosty trik, aby dostać się do informacji prywatnych użytkowników aplikach towarzyszącej produktów tej marki, a biorąc pod uwagę, jakie produkty są pod nią wypuszczane na rynek, wielu osobom takie zdarzenie może być nie w smak.

Za odkrycie problemu odpowiada badacz ds. cyberbezpieczeństwa w Internecie znany pod pseudonimem BobDaHacker. Na swoim blogu szczegółowo opisał, w jaki sposób udało mu się znaleźć istotną lukę w aplikacje Lovense, a także reakcję przedsiębiorstwa na tę informację.

Zaczęło się od tego, że Bob postanowił wyciszyć jednego z innych użytkowników programu. Ku jemu zaskoczeniu, w wyniku tego wydarzenia API usługi zwróciło... adres e-mail tej osoby. Wścibski badacz dość szybko rozgryzł sposób działania tego systemu, a ręczne uzyskanie maila dowolnego innego pasjonata gadżetów Lovesense zajęło mu ok. pół minuty. Po napisaniu skryptu i zautomatyzowaniu tego procesu czas ten skrócił się do sekundy, co w teorii pozwoliłoby na masowe przekształcanie nazw użytkowników platformy w wykorzystywane przez nie adresy e-mail.

Oczywiście stanowi to poważne naruszenie prywatności, jako że raczej mało kto chciałby, aby jego prywatny e-mail wyciekł ze względu na dziury w kodzie apki służącej do sterowania zabawkami erotycznymi.

Naprawdę zabawnie (oczywiście w niedosłownym rozumieniu tego słowa) robi się w momencie, w którym BobDaHakcer zgłosił swoje odkrycie do Lovense. Pierwszą reakcją przedsiębiorstwa było zaoferowanie mu 3000 dolarów w zamian za milczenie nt. luki przez... 14 miesięcy. Jak napisał vx-undeground, standardem w branży w analogicznych sytuacjach są 3 miesiące, aby dać czas na naprawę. Co bardziej wielkoduszni mogą przystać na okres pół roku, jednak 14 miesięcy to szmat czasu i prawdopodobnie nie ma żadnej przesłanki ku poparciu takiego żądania.

Jakby tego było mało, przedsiębiorstwo upierało się, że luka wcale nie jest aż tak istotna, jednakże po przedstawieniu kolejnych dowodów zdecydowało się sklasyfikować się ją jako groźną, tym samym podnosząc nagrodę do wymienionej stawki. Poniżej zaś znajdziemy fragment wiadomości otrzymanej prze Boba:

I w tym miejscu robi się już ciekawie. Na jaw wyszedł bowiem fakt, że bardzo podobna dziura w zabezpieczeniach aplikacji Lovense została odkryta już w 2023 roku. Jej ówczesny znalazca, KrisTech304, otrzymał wynagrodzenie w postaci 350 dolarów i rzewne zapewnienie, że jego praca przyczyni się do poprawy bezpieczeństwa użytkowników platformy. Wygląda jednak na to, że sprawa została zamieciona pod dywan, na co żywy dowód stanowi proces szczegółowo opisany przez wspomnianego Boba.

Na ten moment Lovense nie wydało żadnego oświadczenia w tej sprawie, jednak na zatajenie sprawy jest już zdecydowanie zbyt późno. Pytaniem więc pozostaje, w jaki sposób zareaguje singapurska firma. I tak – metody na odkrycie adresów e-mail i przejęcie kont przedstawione przez BobDaHacker nadal działają.