Утечка личных данных пользователей Lovense: проблема интимного масштаба
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Lovense — компания, специализирующаяся на производстве так называемой "умной" интимной техники, оказалась в центре скандала: в их системе нашли уязвимость, позволяющую злоумышленникам получить доступ к частным электронным адресам пользователей. Достаточно всего лишь знать никнейм — а его часто можно встретить и на форумах, и во время онлайн-трансляций.
Группа независимых исследователей по кибербезопасности под псевдонимами BobDaHacker, Eva и Rebane обнаружила: для взлома нужно создать обычную учетную запись в Lovense и с помощью скрипта подменить имейл пользователя на вымышленный. Система при обновлении списка контактов по ошибке раскрывает настоящий электронный адрес, скрытый за выбранным никнеймом — причём все это происходит за доли секунды.
Таким образом можно было полностью автоматизировать процесс и за короткое время собрать тысячи — если не сотни тысяч — уникальных адресов. С учётом того, что клиентская база Lovense насчитывает около 20 миллионов человек по всему миру, риски поражают воображение.
При этом уязвимость была найдена одновременно с ещё более опасной дырой в безопасности, позволявшей полностью захватить аккаунт. Её компания устранила почти сразу, а вот утечка электронных адресов остаётся нерешённой. По словам представителей Lovense, полностью закрыть дыру удастся только через 10 месяцев работы, причём минимум четыре месяца займёт внедрение даже частичного решения:
— Мы стартовали долгосрочную программу устранения проблемы, на неё уйдёт около десяти месяцев. Быстрое исправление потребовало бы отключения старых версий приложения, что для клиентов вызвало бы неудобства, — объяснили в компании.
Lovense попыталась внедрить дополнительную прокси-функцию, чтобы снизить риски, но она, похоже, работает не так, как нужно.
Всё это особенно тревожно, потому что такие списки могут стать золотой жилой для хакеров: они открывают ворота для целевых фишинговых атак, кражи личности, мошенничества и даже шантажа с использованием выкупа.
Тем, кто опасается, что их данные уже утекли, советуют пользоваться сайтом "HaveIBeenPwned" для проверки утечек. Также можно воспользоваться инструментом Google Password Checkup или обзавестись менеджером паролей, чтобы контролировать безопасность своих учетных данных.
Компания Lovense — производитель «умных» игрушек для взрослых — снова на первых полосах: у них нашли уязвимость, через которую любой заинтересованный мог узнать ваш настоящий электронный адрес, имея на руках никнейм. Всё, что надо — скрипт и пара секунд: база клиентов насчитывает около 20 миллионов, но изоляция данных оказалась такой же прочной, как фанера над Парижем. В процессе исследования выяснилось: одновременно была и другая дыра, позволявшая полностью перехватить учётку — вендор залатал её быстро, а вот массовая утечка адресов до сих пор на плаву, обещают закрыть через 10 месяцев. Быстрое исправление признали неудобным для любителей антикварных версий софта. Тем временем временное решение работает кое-как. Попадёт ли ваша почта в новые рассылки фишеров, зависит от везения. Совет стандартный: проверяйтесь онлайн-сервисами, меняйте пароли и готовьтесь к сюрпризам из почтового ящика. Классический пример, как новый цифровой комфорт превращается в старую добрую незащищённость — только теперь с вайфаем и вибрациями.