Приложение для секс-игрушек Lovense сообщило об утечке адресов электронной почты пользователей и не исправило проблему.

Компания Lovense, производитель секс-игрушек с подключением к интернету, в течение нескольких месяцев подвергала риску адреса электронной почты пользователей, даже после обнаружения уязвимости. Исследователь в области безопасности BobDaHacker обнаружил, что любой логин пользователя можно преобразовать в его адрес электронной почты, что позволяло злоумышленникам получить доступ к учетной записи. По словам исследователя, компания Lovense не спешила с исправлением уязвимости и до сих пор не устранила ее полностью.

Lovense выпускает ряд секс-игрушек, которые пользователи могут подключать к интернету и дистанционно управлять ими через приложение. В 2017 году приложение уже подвергалось критике из-за "незначительной ошибки", которая записывала секс-сессии пользователей.

Как описано в публикации BobDaHacker, исследователь заметил странность в ответе API приложения при блокировке пользователя: в ответе отображался адрес электронной почты этого пользователя. Затем BobDaHacker выяснил, что может воспользоваться этой уязвимостью, отправив измененный запрос на серверы Lovense, который возвращал адрес электронной почты целевого пользователя. Исследователь даже разработал скрипт, который, по его словам, может преобразовать логин пользователя в адрес электронной почты менее чем за секунду.

“Это особенно плохо для веб-моделей, которые публикуют свои логины, но, очевидно, не хотят раскрывать свои личные адреса электронной почты”, – пишет BobDaHacker.

Более того, исследователь обнаружил, что может получить доступ к учетной записи пользователя, используя его адрес электронной почты и токен аутентификации, генерируемый Lovense.

BobDaHacker изначально сообщил об этих уязвимостях в партнерстве с Internet of Dongs, группой, стремящейся повысить безопасность секс-игрушек с подключением к интернету. Однако исследователь утверждает, что Lovense не сразу исправила проблему. Вместо этого компания заявила, что ошибка, позволяющая получить доступ к учетным записям, была исправлена в апреле, хотя BobDaHacker утверждал обратное, и что для устранения утечки адресов электронной почты потребуется 14 месяцев.

“Мы также рассматривали более быстрое решение, которое заняло бы один месяц, но оно потребовало бы немедленной принудительной установки обновления для всех пользователей, что нарушило бы поддержку устаревших версий”, – заявила Lovense, по словам BobDaHacker.

Как отметил BobDaHacker, исследователи в области безопасности сообщили Lovense об той же ошибке, позволяющей получить доступ к учетным записям, в 2023 году, но компания, похоже, закрыла заявку, не устранив проблему.

В заявлении для Bleeping Computer компания Lovense сообщила, что отправила обновление приложения, “устраняющее последние уязвимости”, в магазины приложений. “Ожидается, что полное обновление будет распространено среди всех пользователей в течение следующей недели”, – заявила Lovense. “После того как все пользователи обновятся до новой версии и мы отключим устаревшие версии, эта проблема будет полностью решена”.

На запрос The Verge компания Lovense не сразу ответила.