У секс-іграшках Lovense знайшли баг, що відкриває доступ до акаунтів користувачів

У застосунку виробника секс-іграшок Lovense виявили дві критичні уразливості: одна давала змогу переглядати email інших користувачів, а друга — отримувати повний контроль над будь-яким акаунтом лише за адресою пошти.

Дослідник під псевдонімом BobDaHacker виявив, що під час взаємодії в застосунку (наприклад, коли користувач когось вимикає) дані мережевого запиту містили email іншого користувача. Це давало змогу зіставити публічні імена з приватною поштою — особливо небезпечно для моделей, які публікують свої профілі у відкритому доступі.

Інша уразливість давала змогу створити авторизаційний токен і увійти до будь-якого акаунта без пароля — достатньо знати лише адресу електронної пошти, яку можна було отримати з попередньої уразливості. Це давало повний віддалений доступ до облікового запису й пристроїв.

TechCrunch підтвердив уразливості в тестуванні. Компанія Lovense заявила, що баг із захопленням акаунтів уже виправили, а оновлення щодо витоку email вийде найближчим часом. Водночас Lovense не планує публічно інформувати користувачів про проблему.

Цей випадок підкреслює ризики інтернет-пристроїв для приватного користування. Уразливості такого типу можуть призводити не лише до втрати даних, а й до реальної шкоди. Для користувачів це сигнал уважніше ставитися до налаштувань приватності. Для бізнесу — нагадування про відповідальність за безпеку даних.

Джерело: Tech Crunch