متابعة – أمل علوي
يقول أحد الباحثين في مجال الأمن إن شركة Lovense Sex Toy Maker قد فشلت في إصلاح عيوب أمان تامة تعرض عنوان البريد الإلكتروني الخاص لمستخدميها والسماح بإحضار حساب أي مستخدم.
الباحث ، الذي يذهب من خلال مقبض Bobdahacker ، تفاصيل المنشورة عن الأخطاء يوم الاثنين بعد أن ادعى Lovense أنه سيحتاج إلى 14 شهرًا لإصلاح العيوب حتى لا يكون مستخدمي بعض منتجاتها القديمة.
Lovense هي واحدة من أكبر صانعي الألعاب الجنسية المتصلة بالإنترنت ، ويقال إن لديها أكثر من 20 مليون مستخدم. تصدرت الشركة عناوين الصحف في عام 2023 لتصبح واحدة من أوائل صانعي الألعاب الجنسية لدمج chatgpt في منتجاتها.
لكن المخاطر الأمنية المتأصلة في ربط ألعاب الجنس بالإنترنت يمكن أن تعرض المستخدمين لخطر الأذى في العالم الحقيقي إذا حدث خطأ ما ، بما في ذلك قفلات الجهاز وتسرب خصوصية البيانات.
وقال Bobdahacker إنهم اكتشفوا أن Lovense كان يتسرب عناوين البريد الإلكتروني للآخرين أثناء استخدام التطبيق. على الرغم من أن عناوين البريد الإلكتروني للمستخدمين الآخرين لم تكن مرئية للمستخدمين في التطبيق ، فإن أي شخص يستخدم أداة تحليل الشبكة لتفتيش البيانات التي تتدفق داخل وخارج التطبيق سيرى عنوان البريد الإلكتروني للمستخدم الآخر عند التفاعل معهم ، مثل تمريرها.
من خلال تعديل طلب الشبكة من حساب مسجل ، قال Bobdahacker إنه يمكنه ربط أي اسم مستخدم Lovense بعنوان بريدهم الإلكتروني المسجل ، وربما يعرض أي عميل قام بالتسجيل في Lovense مع عنوان بريد إلكتروني يمكن تحديده.
وكتب Bobdahacker في منشور المدونة: “كان هذا سيئًا بشكل خاص بالنسبة لنماذج CAM التي تشارك أسماء المستخدمين علانية ولكن من الواضح أنها لا تريد أن تعرض رسائل البريد الإلكتروني الشخصية”.
تحقق TechCrunch من هذا الخطأ من خلال إنشاء حساب جديد على Lovense وطلب من Bobdahacker الكشف عن عنوان بريدنا الإلكتروني المسجل ، وهو ما فعلوه في دقيقة واحدة. من خلال أتمتة العملية باستخدام برنامج نصي للكمبيوتر ، قال الباحث إنه يمكنهم الحصول على عنوان بريد إلكتروني للمستخدم في أقل من ثانية.
وقال Bobdahacker إن الثغرة الأمنية الثانية سمحت لهم بالتولي أي حساب مستخدم Lovense باستخدام عنوان بريدهم الإلكتروني فقط ، والذي يمكن اشتقاقه من الأخطاء السابقة. يتيح هذا الخطأ لأي شخص إنشاء رموز مصادقة للوصول إلى حساب Lovense دون الحاجة إلى كلمة مرور ، مما يسمح للمهاجم بالتحكم في الحساب عن بُعد كما لو كانوا المستخدم الحقيقي.
وقال Bobdahacker: “تستخدم نماذج CAM هذه الأدوات للعمل ، لذلك كانت هذه صفقة ضخمة. حرفيًا يمكن لأي شخص أن يتولى أي حساب فقط من خلال معرفة عنوان البريد الإلكتروني”.
تؤثر الأخطاء على أي شخص لديه حساب أو جهاز.
كشف Bobdahacker عن الحشرات إلى Lovense في 26 مارس عبر إنترنت دونغ، مشروع يهدف إلى تحسين الأمن وخصوصية ألعاب الجنس ، ويساعد الإبلاغ والكشف عن العيوب إلى صانعي الأجهزة.
وفقًا لبوباهاكر ، حصلوا على ما مجموعه 3000 دولار عبر موقع Bug Bounty Site Hackerone. ولكن بعد عدة أسابيع من الخلاف ذهابًا وإيابًا ما إذا كانت الأخطاء قد تم إصلاحها بالفعل ، فقد تم الباحث على الملأ هذا الأسبوع بعد أن طلب Lovense 14 شهرًا لإصلاح العيوب. أخبرت الشركة Bobdahacker في نفس البريد الإلكتروني الذي قرره ضد “إصلاح أسرع لمدة شهر واحد” ، والذي كان سيتطلب إجبار العملاء على استخدام المنتجات القديمة على ترقية تطبيقاتهم على الفور.
أبلغ الباحث الشركة قبل الكشف ، لكل بريد إلكتروني شاهدته TechCrunch. قال Bobdahacker في تحديث منشور المدونة يوم الثلاثاء إن الخطأ قد يكون قد تم تحديده من قبل باحث آخر منذ سبتمبر 2023 ، ولكن زُعم أن الخطأ تم إغلاقه دون إصلاح.
لم يستجب Lovense رسالة بريد إلكتروني من TechCrunch.
هذا المحتوي تم باستخدام أدوات الذكاء الإصطناعي
