La principal ‘filtración de juguete sexual’ revela compradores que los compraron e incluso ‘correos electrónicos personales’ a medida que la compañía revuelve para arreglar el error
Los compradores han filtrado sus descaradas compras, y posiblemente sus cuentas pirateadas, luego de la violación de una popular aplicación de juguetes sexuales.
Lovense, que hace que los juguetes sexuales conectados a Internet, dejaron los correos electrónicos de los usuarios expuestos durante meses sin solucionar el defecto de ciberseguridad.
2
En una publicación de blogEl investigador de seguridad Bobdahacker escribe que descubrieron un defecto que permitió a cualquiera “convertir cualquier nombre de usuario en su dirección de correo electrónico”, que luego podría usarse para hacerse cargo de la cuenta de alguien.
Todo lo que se necesitó para exponer la dirección de correo electrónico de alguien, según el investigador, fue silenciar la cuenta de alguien.
Bobdahacker le contó a Lovense sobre la vulnerabilidad en marzo.
Sin embargo, afirman que la compañía esperó meses antes de solucionarlo, y aún no ha abordado completamente el problema.
La plataforma Lovense está conectada a los productos de juguete sexual de la compañía, que se pueden controlar desde lejos a través de la aplicación.
La aplicación también se usa para “encontrar buscadores de emociones de ideas afines”, según la compañía, y fue bajo incendio en 2017 por un “insecto menor” que Sesiones de sexo de los usuarios grabados.
Bobdahacker dice que han desarrollado un guión que puede convertir el nombre de usuario de alguien en una dirección de correo electrónico en menos de un segundo.
“Esto es especialmente malo para los modelos CAM que comparten sus nombres de usuario públicamente, pero obviamente no quieren que se expusen sus correos electrónicos personales”, escribe Bobdahacker en su publicación.
La dirección de correo electrónico de un usuario, combinada con un token de autenticación generado por Lovense y capturada por un hacker, es suficiente para hacerse cargo de la cuenta de un usuario.
El error de adquisición de la cuenta se solucionó en abril, según Lovense.
Aunque Bobdahacker disputa esto, y dice que una solución para el problema de filtración por correo electrónico tomaría 14 meses para implementarse.
“También evaluamos una solución más rápida de un mes”, dijo Lovense, según Bobdahacker.
“Sin embargo, requeriría obligar a todos los usuarios a actualizar de inmediato, lo que interrumpiría el soporte para versiones heredadas”.
Otros investigadores de seguridad informaron el mismo error de adquisición de la cuenta a Lovense en 2023, según Bobdahacker.
Pero El borde señaló que la compañía parece haber cerrado el error sin arreglarlo.
En una declaración a Computadora BleepingLovense dice que ha enviado una actualización de la aplicación “abordar las últimas vulnerabilidades” a las tiendas de aplicaciones.
“Se espera que la actualización completa sea impulsada a todos los usuarios dentro de la próxima semana”, dice Lovense.
“Una vez que todos los usuarios se hayan actualizado a la nueva versión y deshabilitemos las versiones anteriores, este problema se resolverá por completo”.
El sol se ha puesto en contacto con Lovense para hacer comentarios.
