Miliony klientów zagrożonych. Chodzi o popularne gadżety dla dorosłych

Mowa o urządzeniach marki Lovense. Specjalizuje się ona w zaawansowanych, interaktywnych akcesoriach erotycznych, które można np. sterować telefonem. Najbardziej znane sprzęty to podobno Lush, Gush oraz Kraken. Firma twierdzi, że ma aż 20 mln klientów na całym świecie. Teraz są oni zagrożeni.

Niebezpieczne akcesoria dla dorosłych

Ekspert ds. cyberbezpieczeństwa, skrywający się pod pseudonimem BobDaHacker, wykrył dwie poważne luki w zabezpieczeniach firmy Lovesense. Stało się to już w marcu tego roku. Pomimo upływu kilku miesięcy naprawiono tylko jedną z nich. Druga nadal może być wykorzystywana przez oszustów.

BobDaHacker odkrył, że wystarczy sama nazwa użytkownika, aby poznać jego dokładny adres e-mail. Co gorsze, nie jest to specjalnie trudne. Nazwy użytkowników można znaleźć między innymi na oficjalnym forum firmy. Co więcej, urządzenia marki mają być też często używane przez osoby pracujące na tzw. kamerkach, gdzie jest możliwość ujawnienia swojego nicku.

Niestety ta podatność wciąż nie została naprawiona, ponieważ wymaga to większych zmian w systemach firmy, a do tego potrzeba czasu. Natomiast udało się naprawić inny problem. Okazuje się, że wystarczyło mieć adres e-mail użytkownika, aby wygenerować token uwierzytelniający i przejąć jego konto. Na szczęście ten problem podobno udało się już usunąć.

Wprowadziliśmy długoterminowy plan naprawczy, który potrwa około dziesięciu miesięcy, a pełne wdrożenie kompletnego rozwiązania zajmie co najmniej kolejne cztery miesiące. Rozważaliśmy również szybsze, miesięczne rozwiązanie. Wymagałoby to jednak natychmiastowej aktualizacji przez wszystkich użytkowników, co zakłóciłoby obsługę starszych wersji. Zdecydowaliśmy się nie stosować tego podejścia na rzecz bardziej stabilnego i przyjaznego dla użytkownika rozwiązania.