Ο κατασκευαστής του «έξυπνου» κλουβιού αγνότητας άφησε εκτεθειμένα τα email, τους κωδικούς πρόσβασης και τις τοποθεσίες των χρηστών


Τεχνολογία


Ο κατασκευαστής του «έξυπνου» κλουβιού αγνότητας άφησε εκτεθειμένα τα email, τους κωδικούς πρόσβασης και τις τοποθεσίες των χρηστών



By

Marizas Dimitris

Μια εταιρεία που κατασκευάζει μια συσκευή αγνότητας για άτομα με πέος που μπορεί να ελεγχθεί από έναν συνεργάτη μέσω του Διαδικτύου, εξέθεσε τις διευθύνσεις

των χρηστών, τους κωδικούς πρόσβασης απλού κειμένου, τις διευθύνσεις σπιτιού και τις διευθύνσεις IP και — σε ορισμένες περιπτώσεις — τις συντεταγμένες GPS, λόγω πολλών ελαττωμάτων στους διακομιστές της, σύμφωνα με ερευνητή ασφαλείας.

Ο ερευνητής, ο οποίος ζήτησε να διατηρήσει την ανωνυμία του επειδή ήθελε να διαχωρίσει την επαγγελματική του ζωή από τη δουλειά που κάνει, είπε ότι απέκτησε πρόσβαση σε μια βάση δεδομένων που περιέχει αρχεία περισσότερων από 10.000 χρηστών, χάρη σε δύο τρωτά σημεία. Ο ερευνητής είπε ότι εκμεταλλεύτηκε τα σφάλματα για να δει σε ποια δεδομένα θα μπορούσε να έχει πρόσβαση. Επικοινώνησε επίσης με την εταιρεία στις 17 Ιουνίου ειδοποιώντας τους για τα ζητήματα σε μια προσπάθεια να τους κάνει να διορθώσουν τα τρωτά σημεία και να προστατεύσουν τα δεδομένα των χρηστών τους, σύμφωνα με ένα στιγμιότυπο του email που έστειλε και μοιράστηκε με την TechCrunch.

Από τη δημοσίευση, η εταιρεία δεν έχει επιδιορθώσει ακόμη τα τρωτά σημεία και δεν απάντησε σε επανειλημμένα αιτήματα για σχόλια από την TechCrunch.

«Όλα είναι πολύ εύκολα στην εκμετάλλευση. Και αυτό είναι ανεύθυνο», είπε ο ερευνητής στο TechCrunch. «Οπότε η καλύτερη ελπίδα μου είναι ότι θα επικοινωνήσουν είτε με εσάς είτε με εμένα και να διορθώσουν τα πάντα.

Επειδή τα τρωτά σημεία δεν έχουν επιδιορθωθεί, το TechCrunch δεν προσδιορίζει την εταιρεία προκειμένου να προστατεύσει τους χρήστες της, τα δεδομένα των οποίων εξακολουθούν να διατρέχουν κίνδυνο. Το TechCrunch επικοινώνησε επίσης με τον οικοδεσπότη ιστού της εταιρείας, ο οποίος είπε ότι θα ειδοποιήσει τον κατασκευαστή συσκευών, καθώς και την ομάδα αντιμετώπισης έκτακτης ανάγκης υπολογιστών της Κίνας, ή CERT, σε μια προσπάθεια να ειδοποιήσει επίσης την εταιρεία.

Δεδομένου ότι δεν λάμβανε καμία απάντηση, στις 23 Αυγούστου ο ερευνητής παραμόρφωσε την αρχική σελίδα της εταιρείας σε μια προσπάθεια να προειδοποιήσει ξανά την εταιρεία, καθώς και τους χρήστες της.

«Ο ιστότοπος απενεργοποιήθηκε από ένα καλοπροαίρετο τρίτο μέρος. [REDACTED] έχει αφήσει τον ιστότοπο ορθάνοιχτο, επιτρέποντας σε κάθε παιδί σεναρίου να πάρει όλες τις πληροφορίες πελατών. Αυτό περιλαμβάνει κωδικούς πρόσβασης απλού κειμένου και αντίθετα με αυτό [REDACTED] έχει διεκδικήσει, επίσης διευθύνσεις αποστολής. Παρακαλώ!” έγραψε ο ερευνητής. «Αν έχετε πληρώσει για μια φυσική μονάδα και τώρα δεν μπορείτε να τη χρησιμοποιήσετε, λυπάμαι. Αλλά υπάρχουν χιλιάδες άνθρωποι με λογαριασμούς εδώ και δεν θα μπορούσα καλή τη πίστη να αφήσω τα πάντα για άρπαγα».

Λιγότερο από 24 ώρες αργότερα, η εταιρεία αφαίρεσε την προειδοποίηση του ερευνητή και επανέφερε τον ιστότοπο. Όμως η εταιρεία δεν διόρθωσε τα ελαττώματα, τα οποία παραμένουν παρόντα και εκμεταλλεύσιμα.

Εκτός από τα ελαττώματα που του επέτρεψαν να αποκτήσει πρόσβαση στη βάση δεδομένων των χρηστών, ο ερευνητής διαπίστωσε ότι ο ιστότοπος της εταιρείας εκθέτει επίσης αρχεία καταγραφής των πληρωμών των χρηστών στο PayPal. Τα αρχεία καταγραφής δείχνουν τις διευθύνσεις email των χρηστών που χρησιμοποιούν στο PayPal και την ημέρα που πραγματοποίησαν την πληρωμή.

Η εταιρεία πουλάει ένα κλουβί αγνότητας για άτομα με πέος που μπορεί να συνδεθεί με μια εφαρμογή

(δεν υπάρχει εφαρμογή για iPhone). Χρησιμοποιώντας την εφαρμογή, ένας συνεργάτης — που θα μπορούσε να βρίσκεται οπουδήποτε στον κόσμο — μπορεί να παρακολουθεί τις κινήσεις των συνεργατών του, δεδομένου ότι η συσκευή μεταδίδει ακριβείς συντεταγμένες GPS σε απόσταση λίγων μέτρων.

Δεν είναι η πρώτη φορά που χάκερ εκμεταλλεύονται ευπάθειες σε σεξουαλικά παιχνίδια για

, ιδιαίτερα σε κλουβιά αγνότητας. Το 2021,

ένας χάκερ πήρε τον έλεγχο των συσκευών των ανθρώπων και ζήτησε λύτρα

.

«Ο κόκορας σου είναι δικός μου τώρα», είπε ο χάκερ σε ένα από τα θύματα, σύμφωνα με έναν ερευνητή που ανακάλυψε την εκστρατεία

εκείνη την εποχή.

Το προηγούμενο έτος, ερευνητές ασφαλείας είχαν προειδοποιήσει την εταιρεία για σοβαρά ελαττώματα στο προϊόν της που θα μπορούσαν να εκμεταλλευτούν κακόβουλοι χάκερ.

Με τα χρόνια, εκτός από τις πραγματικές παραβιάσεις δεδομένων, οι ερευνητές ασφάλειας εντόπισαν πολλά ζητήματα ασφάλειας

σεξουαλικά παιχνίδια που συνδέονται με το διαδίκτυο

. Το 2016, οι ερευνητές ανακάλυψαν ένα σφάλμα σε ένα «κυλάκι buster» που τροφοδοτείται με Bluetooth, το οποίο επέτρεπε σε οποιονδήποτε να

ελέγξτε το σεξουαλικό παιχνίδι

εξ αποστάσεως μέσω Διαδικτύου. Το 2017, συμφώνησε ένας κατασκευαστής έξυπνων σεξουαλικών παιχνιδιών

διευθετήσει μια αγωγή

κατατέθηκε από δύο

που ισχυρίστηκαν ότι η εταιρεία τις κατασκόπευε συλλέγοντας και καταγράφοντας «ιδιαίτερα προσωπικά και ευαίσθητα δεδομένα» των χρηστών της.


Γνωρίζετε για παρόμοιες εισβολές ή παραβιάσεις δεδομένων; Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Telegram, Keybase και Wire @lorenzofb ή μέσω email στο
. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.



techcrunch.com


Παρόμοια άρθρα



Έκλεψαν τηλέφωνο και το επέστρεψαν επειδή δεν ήταν…




Αναθεώρηση iQOO 12 – Δοκιμές GSMArena.com




Το WhatsApp θα μπορούσε σύντομα να φέρει τη…




Τα υλικά προώθησης και οι προδιαγραφές του Samsung…






android


gps


hacking


iPhone


telegram






Marizas Dimitris



79675 posts


10 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.