今天小編分享的互聯網經驗:“智能”貞操籠制造商洩露了用戶的電子郵件、密碼和位置信息,歡迎閱讀。
據一位安全研究人員聲稱,由于伺服器存在幾個漏洞,一家專業生產貞操設備的公司洩露了用戶們的電子郵件地址、明文密碼、家庭住址和 IP 地址,在一些情況下還洩露了用戶們的 GPS 坐标。使用貞操設備,女性就可以通過互聯網控制配偶或伴侶的 " 幸福 " 活動。
這位研究人員不願透露姓名,因為他希望自己的專業工作與他開展的這項情趣研究工作分開來。他表示,由于兩個漏洞,自己得以成功訪問了一個數據庫,裡面含有 1 萬多用戶的記錄。這位研究人員表示,他利用這些漏洞來查看可以訪問哪些數據。從他發送并分享給外媒的電子郵件截圖來看,他還在 6 月 17 日聯系了這家公司,提醒對方注意安全問題,試圖讓對方修復漏洞,并保護用戶的數據。
截至發稿時,這家公司尚未修復這些漏洞,也沒有回應外媒多次提出的置評請求。
這位研究人員表示:" 一切都太容易被利用了。這是廠家不負責任的表現。所以我最大的希望是廠家會聯系我和外媒,修復所有漏洞。"
由于這些漏洞尚未修復,外媒沒有公布這家公司的身份,以保護其用戶,用戶的數據仍處于危險之中。外媒還聯系了這家公司的網站主機提供商,對方表示會提醒這家設備廠商,并聯系了中國計算機應急響應小組(CERT),以提醒這家公司。
由于沒有得到任何回復,這名研究人員在 8 月 23 日有意毀損了這家公司的主頁,試圖再次警告這家公司及其用戶。
這位研究人員寫道:" 該網站已被善意的第三方關閉了。該廠家任由網站敞開,允許任何腳本小子獲取任何和所有的客戶信息。這包括明文密碼以及送貨地址,該廠家口口聲稱不包括送貨地址。如果你已經購買了一個設備,現在無法使用,我很抱歉。但是有成千上萬的人在這裡注冊了帳戶,出于善意,我不能任由所有的信息都任由别人訪問。"
沒過 24 小時,這家公司删除了這位研究人員的警告信息,并恢復了網站。但該公司并沒有修復這些漏洞,這些漏洞依然存在,可以被利用。
除了允許訪問用戶數據庫的漏洞外,這位研究人員發現該公司的網站還暴露了記錄用戶 PayPal 支付信息的日志。日志顯示了用戶在 PayPal 上使用的電子郵件地址以及他們付款的日期。
該公司專門向男性銷售貞操籠,貞操籠可以與安卓應用程式(沒有 iPhone 應用程式)相連接。使用這款應用程式,無論伴侶在什麼地方,都可以跟蹤男方的行動,因為這款設備可以傳輸精确到幾米的 GPS 坐标。
這不是黑客第一次利用男性性玩具(尤其是貞操籠)的漏洞了。2021 年,一名黑客控制了許多人的設備,并索要贖金。
據當時發現這起黑客活動的一名研究人員稱,這名黑客對其中一個受害者叫嚣:" 你的小弟弟現在是我的了!"
而一年前,多位安全研究人員就警告過這家公司,其產品存在嚴重的漏洞,可能被惡意黑客利用。
這些年來,除了實際的數據洩露外,安全研究人員還在聯網性玩具中發現了幾個安全問題。2016 年,研究人員在配備藍牙的 " 内褲克星 " 中發現了一個漏洞,任何人都可以通過互聯網遠程控制這款性玩具。2017 年,一家智能性玩具制造商同意和解兩名女性提起的訴訟,她們指控這家公司通過收集和記錄用戶 " 高度私密和敏感的數據 " 來監視她們。