Výskumníci našli spôsob, ako extrahovať e-mailové adresy z používateľských účtov Lovense. Bola vydaná náprava, ale údajne nefunguje podľa očakávaní. Spoločnosť tvrdí, že bude potrebovať ešte mesiace, kým túto dieru zapláta.
Lovense, spoločnosť zaoberajúca sa technológiami pre dospelých, ktorá sa špecializuje na inteligentné, diaľkovo ovládané hračky pre dospelých, mala vo svojich systémoch zraniteľnosť, ktorá mohla útočníkom umožniť prezerať si súkromné e-mailové adresy ľudí.
Všetko, čo potrebovali, bolo používateľské meno danej osoby a zdá sa, že tieto veci sa dajú relatívne ľahko získať.
Nedávno bezpečnostní výskumníci pod aliasom BobDaHacker, Eva, Rebane zistili, že ak poznajú niečie používateľské meno (možno ho videli na fóre alebo počas cam show), môžu sa prihlásiť do svojho vlastného účtu Lovense (ktorý nemusí byť ničím špeciálny, postačí bežný používateľský účet) a pomocou skriptu premeniť používateľské meno na falošný e-mail (tento krok využíva šifrovanie a časti systému Lovense určené na interné použitie).
Tento falošný e-mail sa pridá ako „priateľ“ do chatovacieho systému, ale keď systém aktualizuje zoznam kontaktov, omylom odhalí skutočnú e-mailovú adresu za používateľským menom na pozadí kódu.
Automatizácia exfiltrácie
Celý proces sa dá automatizovať a vykonať za menej ako sekundu, čo znamená, že útočníci ho mohli zneužiť na rýchle a efektívne získanie tisícov, ak nie stoviek tisíc e-mailových adries.
Spoločnosť má celosvetovo približne 20 miliónov zákazníkov, takže priestor pre útok je pomerne veľký.
Chyba bola objavená spolu s ďalšou, ešte nebezpečnejšou chybou, ktorá umožňovala prevzatie účtu. Zatiaľ čo túto chybu spoločnosť rýchlo napravila, táto doteraz opravená nebola. Zjavne spoločnosť stále potrebuje „mesiace“ práce na zaplátanie tejto diery.
„Spustili sme dlhodobý plán nápravy, ktorý bude trvať približne desať mesiacov, pričom na úplnú implementáciu kompletného riešenia bude potrebných ešte minimálne štyri mesiace,“ uviedla spoločnosť Lovense výskumníkom.
„Zvážili sme aj rýchlejšiu, jednomesačnú opravu. Vyžadovalo by si to však okamžité vynútenie aktualizácie pre všetkých používateľov, čo by narušilo podporu starších verzií. Rozhodli sme sa proti tomuto prístupu v prospech stabilnejšieho a užívateľsky príjemnejšieho riešenia.“
Lovense tiež uviedla, že nasadila funkciu proxy ako zmierňujúci prostriedok, ale údajne nefunguje podľa očakávaní.
Ako zostať v bezpečí
Útok je obzvlášť znepokojujúci, pretože takéto záznamy by mohli obsahovať viac než dostatok citlivých informácií na to, aby hackeri mohli spustiť vysoko personalizované a úspešné phishingové kampane, ktoré by viedli ku krádeži identity, podvodom s prevodmi peňazí a dokonca aj útokom ransomvéru.
Ak sa obávate, že ste sa mohli dostať do problémov, nebojte sa – existuje množstvo spôsobov, ako to zistiť. HaveIBeenPwned? je pravdepodobne najlepší zdroj na kontrolu, či boli vaše údaje ovplyvnené, a ponúka prehľad o každom veľkom kybernetickom incidente za posledných niekoľko rokov.
A ak si ukladáte heslá do účtu Google, môžete použiť nástroj Google Password Checkup, aby ste zistili, či niektoré z nich neboli ohrozené, alebo sa zaregistrovať do jedného z najlepších správcov hesiel, ktorých výber sme zhrnuli, aby ste sa uistili, že vaše prihlasovacie údaje sú chránené.
