ИБ-эксперт обнаружил, что неназванный производитель мужских поясов верности раскрывает данные своих пользователей, включая email-адреса, пароли (открытым текстом) домашние адреса, IP-адреса, а в некоторых случаях даже координаты GPS.

Исследователь, пожелавший остаться анонимным, рассказал изданию TechCrunch, что ему удалось получить доступ к базе данных, содержащей записи более 10 000 пользователей. Доступ был получен благодаря двум уязвимостям, о которых специалист уведомил компанию еще 17 июня 2023 года.

Однако журналисты пишут, что производитель поясов верности до сих пор не исправил обнаруженные проблемы и не ответил ни на запросы TechCrunch, ни на сообщения ИБ-специалиста. Журналисты даже связались с  хостером компании и тот заверил, что предупредит о проблемах производителя устройств, а также китайский CERT, чтобы те так же попытались связаться с компанией.

Не получив ответа от производителя, 23 августа ИБ-исследователь дефейснул домашнюю страницу компании, пытаясь еще раз привлечь внимание разработчиков и предупредить пользователей об опасности.

«Сайт отключен дружественой третьей стороной. [Компания] оставила сайт открытым, что позволяет любому скрипт-кидди получить любую информацию о клиентах, включая пароли в открытом виде, а также, вопреки утверждениям [компании], адреса доставки устройств. Если вы заплатили за устройство и теперь не можете им воспользоваться, мне очень жаль. Но учетные записи на этом сайте есть у тысяч людей, и я не мог с чистой совестью бросить все это на произвол судьбы», — написал эксперт на сайте производителя.

Менее чем через 24 часа компания удалила предупреждение исследователя и восстановила работу ресурса. Однако уязвимости все равно не были исправлены, и их все еще можно эксплуатировать.

Так как уязвимости до сих пор не устранены, издание не раскрывает название компании, чтобы защитить пользователей, чьи данные все еще находятся под угрозой.

В дополнение к проблемам, которые позволяют получить доступ к базе данных пользователей, исследователь обнаружил на сайте компании открытые логи платежей через PayPal. В этих журналах собрана информация об адресах электронной почты, связанных с PayPal, и даты, когда пользователи совершали платеж.

Стоит отметить, что это далеко не первый раз, когда эксперты обнаруживают проблемы безопасности в «умных» гаджетах для взрослых. К примеру, в 2020 году исследователи из компании Pen Test Partners сообщали о небезопасности мужских поясов верности Cellmate, производства китайской компании Qiui.

Тогда аналитики писали, что у устройств множество проблем с безопасностью, и их могут удаленно блокировать и открывать и хакеры, а ручного управления для «аварийного» открывания или физического ключа для Cellmate попросту не предусмотрено. То есть заблокированные пользователи могли оказаться в крайне неприятной ситуации.

А в 2021 году стало известно, что проблемами в Cellmate стали пользоваться вымогатели, которые стали атаковать пользователей приложения Qiui Cellmate и блокировать их устройства. За разблокировку поясов верности хакеры требовало у жертв 0,02 биткоина (около 270 долларов по курсу на момент атак).

Фото: TechCrunch

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    9 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии