Uzaktan kumandalı vibratörlerin hacklenebildiği ortaya çıktı. 'Sızıntı ciddi sonuçlara yol açabilir'

Akıllı seks oyuncakları üreticisi Lovense, Mart ayında etik bir bilgisayar korsanı tarafından keşfedilen bir güvenlik açığıyla aylardır mücadele ediyordu. Kötü niyetli kişiler, uzaktan kumandalı vibratörlerin kullanıcı hesaplarına şifresiz erişebiliyordu. Bu hesaplarla ilişkili e-posta adresleri de izlenebiliyordu. Lovense yaptığı açıklamada, söz konusu açığın daha sonra kapatıldığını duyurdu.

Yirmi milyondan fazla kullanıcısı olduğunu iddia eden Hong Kong merkezli şirket, Bluetooth uygulamasıyla kontrol edilebilen vibratörler, titreşimli yumurtalar ve anal tıkaçlar üretiyor. Uygulama, kullanıcıların cihazların titreşimlerini uzaktan kontrol etmelerine olanak tanıyor.

Şirketin web sitesi, bunun uzun mesafeli ilişkiler yaşayanlar için bir çözüm olabileceğini iddia ediyor. Lovense ayrıca OnlyFans gibi erotik siteler için web kamerası modellerine de hizmet veriyor. Örneğin, canlı yayın sırasında oyuncakların titreşmesi için izleyicilerden ücret talep edebiliyorlar.

Şans

Güvenlik açığı ilk olarak BobDaHacker adlı etik bir hacker tarafından bir blog gönderisinde bildirildi. Kimliğinin gizli kalmasını isteyen hacker, Signal mesajlaşma uygulaması aracılığıyla bu gazeteye, uygulamayı "kurcalarken" güvenlik açığını tesadüfen keşfettiğini söyledi. Eski sevgilisini engelledi ve uygulamanın sunucuyla paylaştığı verileri inceledi. Eski sevgilinin e-posta adresi de bunlar arasındaydı.

Etik hacker, açığı Mart ayında Lovense'e bildirmiş, ancak şirket yeterli yanıt vermemişti. Bu nedenle Lovense, açığı bu hafta başında açıklamaya karar verdi. Bu durum, onu aynı yazılım açığını 2023 yılında şirkete bildirdiklerini söyleyen başka bir etik hacker'a yönlendirdi.

BobDaHacker'ın blog yazısından üç gün sonra, Lovense uygulama için yeni bir otomatik güncelleme yayınlayarak güvenlik açığını kapattı. Lovense, web sitesinde yayınladığı biraçıklamada , güncellemenin kalıcı koruma sağlamasını istediklerini ve bu süreci "aceleye getirmek istemediklerini" belirtti. Şirket ayrıca, kullanıcı verilerine gerçekten erişildiğine dair herhangi bir kanıt bulamadığını da belirtti.

Privacy First Vakfı'nın yönetim kurulu üyesi Steven Derks, "Elbette oradaki süreçleri bilmiyorum, ancak [şirketin] bunu kesin olarak söylemesinin zor olduğunu düşünüyorum," diyor. "Veri ihlali, yani kişisel verilere erişim veya bunların çalınması riskini çok yüksek görüyorum."

Şok edici

Derks, böyle bir sızıntının ciddi sonuçlara yol açabileceğini söylüyor. "Bu ürünleri kullanan kamera modelleri de genellikle takma adlar kullanıyor. E-posta adresini buna bağlayabilirseniz, kişi hakkında daha fazla bilgi edinebilirsiniz. Bu da şantaj, doxing [kişisel bilgileri internette yayınlama] ve sindirme gibi tehditlerin önünü açar."

Derks, sızıntının gizliliği başka bir şekilde de ihlal ettiğine inanıyor: "Bir hesabı hackleyip bir seks oyuncağını kontrol ettiğiniz anda, birinin fiziksel bütünlüğünü gerçekten ihlal edebilirsiniz." Şirketin sızıntıyı düzeltmek için en az dört ay beklemesini "şok edici" olarak nitelendiriyor. Derks: "Böylesine büyük bir cinsel oyuncak üreticisinin güvenliğinin yerinde olmasını beklersiniz."

Easytoys ve Bol.com gibi şirketler Lovense seks oyuncakları satıyor. Bu haftanın başlarında, çevrimiçi mağazalar AD gazetesindeki sızıntı haberlerinin ardından satışlarını durdurduklarını duyurdu. Bir sözcü NRC'ye verdiği demeçte, sızıntı giderildikten sonra kırk erotik ürünün Bol.com'da tekrar satışa sunulduğunu söyledi. Çevrimiçi mağaza, konuyu hafife almadığını belirtiyor. "Dağıtımcımızla yakın temas halindeyiz ve Lovense'in sıkı bir şekilde denetlenmesini talep ediyoruz." Easytoys ayrıca seks oyuncaklarının satışına yeniden başlayacağını da belirtiyor.