- Os pesquisadores encontraram uma maneira de extrair endereços de e -mail de contas de usuário Lovense
- Uma mitigação foi divulgada, mas supostamente não está funcionando como pretendido
- A empresa afirma que ainda precisa de meses antes de conectar o vazamento
A Lovense, uma empresa de tecnologia sexual especializada em brinquedos adultos inteligentes e controlados remotamente, tinha uma vulnerabilidade em seus sistemas, o que poderia permitir que os atores de ameaças vejam os endereços de e -mail privados das pessoas.
Tudo o que eles precisavam era o nome de usuário dessa pessoa e, aparentemente, essas coisas são relativamente fáceis de encontrar.
Recentemente, pesquisadores de segurança sob o alias Bobdahacker, Eva, Rebane, descobriram que, se soubessem o nome de usuário de alguém (talvez o vissem em um fórum ou durante um show de cames), eles poderiam fazer login em sua própria conta de amor (que não precisa ser um sinistro especial, que uma conta regular de um sinistro é suficiente) e usar um script para transformar o nome de uso de um e -mail interno (essa etapa comum se usa, essa etapa é suficiente para que uma etapa use uma etapa regular, e uma descrição de um sinistro comum) e usará um script e usar um script de uso de uso de um e -mail falso (essa etapa comum de sinalizadores) e usará a graduação em um e -mail.
Esse email falso é adicionado como um “amigo” no sistema de bate -papo, mas quando o sistema atualiza a lista de contatos, ele revela acidentalmente o endereço de e -mail real por trás do nome de usuário no código de segundo plano.
Automatando Exfiltração
Todo o processo pode ser automatizado e feito em menos de um segundo, o que significa que os atores de ameaças poderiam ter abusado para pegar milhares, se não centenas de milhares de endereços de e -mail, de maneira rápida e eficiente.
A empresa possui cerca de 20 milhões de clientes em todo o mundo, portanto a superfície de ataque é bastante grande.
O bug foi descoberto junto com outra falha ainda mais perigosa, o que permitiu a aquisição da conta. Enquanto aquele foi rapidamente remediado pela empresa, este ainda não foi corrigido. Aparentemente, a empresa ainda precisa de “meses” de trabalho para conectar o vazamento:
“Lançamos um plano de remediação de longo prazo que levará aproximadamente dez meses, com pelo menos mais quatro meses necessários para implementar completamente uma solução completa”, disse Lovense ao pesquisador.
“Também avaliamos uma correção mais rápida e de um mês. No entanto, seria necessário forçar todos os usuários a atualizar imediatamente, o que atrapalharia o suporte para versões herdadas. Decidimos contra essa abordagem a favor de uma solução mais estável e amigável”.
Lovense também disse que implantou um recurso de proxy como mitigação, mas, aparentemente, não está funcionando como pretendido.
Como ficar seguro
O ataque é particularmente preocupante, pois esses registros podem conter mais do que suficientes informações confidenciais para os hackers lançarem campanhas de phishing altamente personalizadas e bem -sucedidas, levando a roubo de identidade, fraude eletrônica e até ataques de ransomware.
Se você estiver preocupado, pode ter sido pego no incidente, não se preocupe – há vários métodos para descobrir. Haveibeenpwned? é provavelmente o melhor recurso apenas para verificar se seus detalhes foram afetados, oferecendo uma renovação de todos os grandes incidentes cibernéticos dos últimos anos.
E se você salvar senhas em uma conta do Google, poderá usar a ferramenta de check -up de senha do Google para ver se alguma foi comprometida ou se inscrever em uma das melhores opções de gerenciador de senhas que arredondamos para garantir que seus logins estejam protegidos.
Via BleepingComputer
Fique conectado