Хакер #305. Многошаговые SQL-инъекции
ИБ-эксперт обнаружил, что неназванный производитель мужских поясов верности раскрывает данные своих пользователей, включая email-адреса, пароли (открытым текстом) домашние адреса, IP-адреса, а в некоторых случаях даже координаты GPS.
Исследователь, пожелавший остаться анонимным, рассказал изданию TechCrunch, что ему удалось получить доступ к базе данных, содержащей записи более 10 000 пользователей. Доступ был получен благодаря двум уязвимостям, о которых специалист уведомил компанию еще 17 июня 2023 года.
Однако журналисты пишут, что производитель поясов верности до сих пор не исправил обнаруженные проблемы и не ответил ни на запросы TechCrunch, ни на сообщения ИБ-специалиста. Журналисты даже связались с хостером компании и тот заверил, что предупредит о проблемах производителя устройств, а также китайский CERT, чтобы те так же попытались связаться с компанией.
Не получив ответа от производителя, 23 августа ИБ-исследователь дефейснул домашнюю страницу компании, пытаясь еще раз привлечь внимание разработчиков и предупредить пользователей об опасности.
«Сайт отключен дружественой третьей стороной. [Компания] оставила сайт открытым, что позволяет любому скрипт-кидди получить любую информацию о клиентах, включая пароли в открытом виде, а также, вопреки утверждениям [компании], адреса доставки устройств. Если вы заплатили за устройство и теперь не можете им воспользоваться, мне очень жаль. Но учетные записи на этом сайте есть у тысяч людей, и я не мог с чистой совестью бросить все это на произвол судьбы», — написал эксперт на сайте производителя.
Менее чем через 24 часа компания удалила предупреждение исследователя и восстановила работу ресурса. Однако уязвимости все равно не были исправлены, и их все еще можно эксплуатировать.
Так как уязвимости до сих пор не устранены, издание не раскрывает название компании, чтобы защитить пользователей, чьи данные все еще находятся под угрозой.
В дополнение к проблемам, которые позволяют получить доступ к базе данных пользователей, исследователь обнаружил на сайте компании открытые логи платежей через PayPal. В этих журналах собрана информация об адресах электронной почты, связанных с PayPal, и даты, когда пользователи совершали платеж.
Стоит отметить, что это далеко не первый раз, когда эксперты обнаруживают проблемы безопасности в «умных» гаджетах для взрослых. К примеру, в 2020 году исследователи из компании Pen Test Partners сообщали о небезопасности мужских поясов верности Cellmate, производства китайской компании Qiui.
Тогда аналитики писали, что у устройств множество проблем с безопасностью, и их могут удаленно блокировать и открывать и хакеры, а ручного управления для «аварийного» открывания или физического ключа для Cellmate попросту не предусмотрено. То есть заблокированные пользователи могли оказаться в крайне неприятной ситуации.
А в 2021 году стало известно, что проблемами в Cellmate стали пользоваться вымогатели, которые стали атаковать пользователей приложения Qiui Cellmate и блокировать их устройства. За разблокировку поясов верности хакеры требовало у жертв 0,02 биткоина (около 270 долларов по курсу на момент атак).
Фото: TechCrunch