Было обнаружено, что дистанционно управляемые вибраторы можно взломать. «Утечка может иметь серьёзные последствия».

Компания Lovense, производитель умных секс-игрушек, месяцами боролась с уязвимостью безопасности, обнаруженной этичным хакером в марте. Злоумышленники получили доступ к учётным записям пользователей дистанционно управляемых вибраторов без пароля. Адреса электронной почты, связанные с этими учётными записями, также можно было отследить. Уязвимость была устранена, говорится в заявлении Lovense.

Гонконгская компания, которая заявляет о более чем двадцати миллионах пользователей, производит вибраторы, виброяйца и анальные пробки, которыми можно управлять через Bluetooth-приложение. Приложение позволяет пользователям удалённо управлять вибрацией устройств.

На сайте компании рекламируется, что это может стать решением для людей, состоящих в отношениях на расстоянии. Lovense также предоставляет услуги веб-моделей для эротических сайтов, таких как OnlyFans. Например, они могут взимать плату со зрителей за вибрацию игрушек во время прямой трансляции.

Шанс

Об уязвимости впервые сообщил в блоге этичный хакер, называющий себя BobDaHacker. Хакер, пожелавший остаться анонимным, сообщил этой газете через мессенджер Signal, что случайно обнаружил уязвимость, «возясь» с приложением. Она заблокировала своего бывшего любовника и увидела данные, которыми приложение впоследствии обменивалось с сервером. Среди них был адрес электронной почты бывшего любовника.

Этичный хакер сообщила об уязвимости компании Lovense в марте, но компания не отреагировала должным образом. Поэтому она решила раскрыть информацию об уязвимости ранее на этой неделе. Это привело её к другому этичному хакеру, который сообщил ей, что они уже сообщали компании об этой же уязвимости в 2023 году.

Через три дня после публикации в блоге BobDaHacker компания Lovense выпустила новое автоматическое обновление для приложения, закрывающее уязвимость. Взаявлении на своём сайте Lovense написала, что они хотели обеспечить долгосрочную защиту и «не хотели торопить» этот процесс. Компания также заявила, что не обнаружила никаких доказательств фактического доступа к пользовательским данным.

«Конечно, я не знаком с тем, как там обстоят дела, но, думаю, [компании] сложно сказать это с уверенностью», — говорит Стивен Деркс, член совета директоров фонда Privacy First. «Я считаю риск утечки данных, то есть доступа к персональным данным или их кражи, очень высоким».

Шокирующий

По словам Деркса, такая утечка может иметь серьёзные последствия. «Веб-модели, которые также используют эти продукты, часто работают под псевдонимами. Если связать с ним адрес электронной почты, можно быстро узнать больше о человеке. Это открывает путь к шантажу, доксингу [публикации личной информации в интернете] и запугиванию».

Деркс также считает, что утечка нарушает конфиденциальность и другим образом: «Вы действительно можете нарушить физическую неприкосновенность личности, взламывая аккаунт и управляя секс-игрушкой». Он называет «шокирующим» тот факт, что компания ждала не менее четырёх месяцев, чтобы устранить утечку. Деркс: «Можно было бы ожидать, что такой крупный производитель интимных игрушек будет следить за своей безопасностью».

Easytoys и Bol.com, среди прочих, продают секс-игрушки Lovense. Ранее на этой неделе интернет-магазины объявили о приостановке продаж после сообщений об утечке информации в газете AD . Теперь, когда утечка устранена, сорок эротических товаров снова выставлены на продажу на Bol.com, сообщил представитель NRC . Интернет-магазин заявляет, что относится к этому вопросу серьёзно. «Мы поддерживаем тесную связь с нашим дистрибьютором и требуем пристального контроля за Lovense». Easytoys также заявляет, что возобновит продажу секс-игрушек.