- Peneliti menemukan cara untuk mengekstrak alamat email dari akun pengguna Lovense
- Mitigasi dirilis, tetapi diduga tidak berfungsi sebagaimana dimaksud
- Perusahaan mengklaim masih perlu berbulan -bulan sebelum memasang kebocoran
Lovense, sebuah perusahaan teknologi seks yang berspesialisasi dalam mainan orang dewasa yang cerdas dan dikendalikan dari jarak jauh, memiliki kerentanan dalam sistemnya yang dapat memungkinkan para aktor ancaman untuk melihat alamat email pribadi orang.
Yang mereka butuhkan hanyalah nama pengguna orang itu dan ternyata – hal -hal ini relatif mudah didapat.
Baru -baru ini, para peneliti keamanan di bawah alias Bobdahacker, Eva, Rebane, menemukan bahwa jika mereka tahu nama pengguna seseorang (mungkin mereka melihatnya di forum atau selama acara cam), mereka dapat masuk ke akun Lovense mereka sendiri (yang tidak perlu menjadi sesuatu yang istimewa, langkah pengguna reguler ini akan mencukupi), dan menggunakan skrip untuk mengubah nama pengguna menjadi email palsu ini) digunakan.
Email palsu itu ditambahkan sebagai “teman” di sistem obrolan, tetapi ketika sistem memperbarui daftar kontak, secara tidak sengaja mengungkapkan alamat email nyata di balik nama pengguna dalam kode latar belakang.
Mengotomatiskan exfiltration
Seluruh proses dapat diotomatisasi dan dilakukan dalam waktu kurang dari satu detik, yang berarti para aktor ancaman dapat menyalahgunakannya untuk meraih ribuan, jika tidak ratusan ribu alamat email, dengan cepat dan efisien.
Perusahaan ini memiliki sekitar 20 juta pelanggan di seluruh dunia, sehingga permukaan serangannya agak besar.
Bug itu ditemukan bersama dengan cacat lain yang bahkan lebih berbahaya, yang memungkinkan pengambilalihan akun. Sementara itu dengan cepat diatasi oleh perusahaan, yang satu ini belum diperbaiki. Rupanya, perusahaan masih membutuhkan “berbulan -bulan” pekerjaan untuk memasang kebocoran:
“Kami telah meluncurkan rencana remediasi jangka panjang yang akan memakan waktu sekitar sepuluh bulan, dengan setidaknya empat bulan lagi diperlukan untuk sepenuhnya menerapkan solusi lengkap,” kata Lovense kepada peneliti.
“Kami juga mengevaluasi perbaikan yang lebih cepat, satu bulan. Namun, itu akan membutuhkan pemaksaan semua pengguna untuk segera meningkatkan, yang akan mengganggu dukungan untuk versi warisan. Kami telah memutuskan untuk menentang pendekatan ini demi solusi yang lebih stabil dan ramah pengguna.”
Lovense juga mengatakan bahwa itu menggunakan fitur proxy sebagai mitigasi tetapi tampaknya, itu tidak berfungsi sebagaimana dimaksud.
Bagaimana tetap aman
Serangan ini sangat memprihatinkan karena catatan tersebut dapat berisi lebih dari cukup informasi sensitif bagi peretas untuk meluncurkan kampanye phishing yang sangat personal, yang mengarah ke pencurian identitas, penipuan kawat, dan bahkan serangan ransomware.
Jika Anda khawatir, Anda mungkin terperangkap dalam insiden itu, jangan khawatir – ada sejumlah metode untuk mengetahuinya. Havibeenpwned? Mungkin sumber daya terbaik hanya untuk memeriksa apakah detail Anda telah terpengaruh, menawarkan kerusakan setiap insiden cyber besar dalam beberapa tahun terakhir.
Dan jika Anda menyimpan kata sandi ke akun Google, Anda dapat menggunakan alat pemeriksaan kata sandi Google untuk melihat apakah ada yang terganggu, atau mendaftar untuk salah satu opsi manajer kata sandi terbaik yang telah kami kumpulkan untuk memastikan login Anda dilindungi.
Melalui Komputer yang meledakkan
