ИБ-эксперт обнаружил, что неназванный производитель мужских поясов верности раскрывает данные своих пользователей, включая email-адреса, пароли (открытым текстом) домашние адреса, IP-адреса, а в некоторых случаях даже координаты GPS.
Исследователь, пожелавший остаться анонимным, рассказал изданию , что ему удалось получить доступ к базе данных, содержащей записи более 10 000 пользователей. Доступ был получен благодаря двум уязвимостям, о которых специалист уведомил компанию еще 17 июня 2023 года.
Однако журналисты пишут, что производитель поясов верности до сих пор не исправил обнаруженные проблемы и не ответил ни на запросы TechCrunch, ни на сообщения ИБ-специалиста. Журналисты даже связались с хостером компании и тот заверил, что предупредит о проблемах производителя устройств, а также китайский CERT, чтобы те так же попытались связаться с компанией.
Не получив ответа от производителя, 23 августа ИБ-исследователь дефейснул домашнюю страницу компании, пытаясь еще раз привлечь внимание разработчиков и предупредить пользователей об опасности.
Менее чем через 24 часа компания удалила предупреждение исследователя и восстановила работу ресурса. Однако уязвимости все равно не были исправлены, и их все еще можно эксплуатировать.
В дополнение к проблемам, которые позволяют получить доступ к базе данных пользователей, исследователь обнаружил на сайте компании открытые логи платежей через PayPal. В этих журналах собрана информация об адресах электронной почты, связанных с PayPal, и даты, когда пользователи совершали платеж.
Стоит отметить, что это далеко не первый раз, когда эксперты обнаруживают проблемы безопасности в «умных» гаджетах для взрослых. К примеру, в 2020 году исследователи из компании Pen Test Partners о небезопасности мужских поясов верности Cellmate, производства китайской компании Qiui.
Тогда аналитики писали, что у устройств множество проблем с безопасностью, и их могут удаленно блокировать и открывать и хакеры, а ручного управления для «аварийного» открывания или физического ключа для Cellmate попросту не предусмотрено. То есть заблокированные пользователи могли оказаться в крайне неприятной ситуации.
А в 2021 году , что проблемами в Cellmate стали пользоваться вымогатели, которые стали атаковать пользователей приложения Qiui Cellmate и блокировать их устройства. За разблокировку поясов верности хакеры требовало у жертв 0,02 биткоина (около 270 долларов по курсу на момент атак).
Исследователь, пожелавший остаться анонимным, рассказал изданию , что ему удалось получить доступ к базе данных, содержащей записи более 10 000 пользователей. Доступ был получен благодаря двум уязвимостям, о которых специалист уведомил компанию еще 17 июня 2023 года.
Однако журналисты пишут, что производитель поясов верности до сих пор не исправил обнаруженные проблемы и не ответил ни на запросы TechCrunch, ни на сообщения ИБ-специалиста. Журналисты даже связались с хостером компании и тот заверил, что предупредит о проблемах производителя устройств, а также китайский CERT, чтобы те так же попытались связаться с компанией.
Не получив ответа от производителя, 23 августа ИБ-исследователь дефейснул домашнюю страницу компании, пытаясь еще раз привлечь внимание разработчиков и предупредить пользователей об опасности.
Менее чем через 24 часа компания удалила предупреждение исследователя и восстановила работу ресурса. Однако уязвимости все равно не были исправлены, и их все еще можно эксплуатировать.
В дополнение к проблемам, которые позволяют получить доступ к базе данных пользователей, исследователь обнаружил на сайте компании открытые логи платежей через PayPal. В этих журналах собрана информация об адресах электронной почты, связанных с PayPal, и даты, когда пользователи совершали платеж.
Стоит отметить, что это далеко не первый раз, когда эксперты обнаруживают проблемы безопасности в «умных» гаджетах для взрослых. К примеру, в 2020 году исследователи из компании Pen Test Partners о небезопасности мужских поясов верности Cellmate, производства китайской компании Qiui.
Тогда аналитики писали, что у устройств множество проблем с безопасностью, и их могут удаленно блокировать и открывать и хакеры, а ручного управления для «аварийного» открывания или физического ключа для Cellmate попросту не предусмотрено. То есть заблокированные пользователи могли оказаться в крайне неприятной ситуации.
А в 2021 году , что проблемами в Cellmate стали пользоваться вымогатели, которые стали атаковать пользователей приложения Qiui Cellmate и блокировать их устройства. За разблокировку поясов верности хакеры требовало у жертв 0,02 биткоина (около 270 долларов по курсу на момент атак).
