今天小编分享的互联网经验:“智能”贞操笼制造商泄露了用户的电子邮件、密码和位置信息,欢迎阅读。
据一位安全研究人员声称,由于伺服器存在几个漏洞,一家专业生产贞操设备的公司泄露了用户们的电子邮件地址、明文密码、家庭住址和 IP 地址,在一些情况下还泄露了用户们的 GPS 坐标。使用贞操设备,女性就可以通过互联网控制配偶或伴侣的 " 幸福 " 活动。
这位研究人员不愿透露姓名,因为他希望自己的专业工作与他开展的这项情趣研究工作分开来。他表示,由于两个漏洞,自己得以成功访问了一个数据库,里面含有 1 万多用户的记录。这位研究人员表示,他利用这些漏洞来查看可以访问哪些数据。从他发送并分享给外媒的电子邮件截图来看,他还在 6 月 17 日联系了这家公司,提醒对方注意安全问题,试图让对方修复漏洞,并保护用户的数据。
截至发稿时,这家公司尚未修复这些漏洞,也没有回应外媒多次提出的置评请求。
这位研究人员表示:" 一切都太容易被利用了。这是厂家不负责任的表现。所以我最大的希望是厂家会联系我和外媒,修复所有漏洞。"
由于这些漏洞尚未修复,外媒没有公布这家公司的身份,以保护其用户,用户的数据仍处于危险之中。外媒还联系了这家公司的网站主机提供商,对方表示会提醒这家设备厂商,并联系了中国计算机应急响应小组(CERT),以提醒这家公司。
由于没有得到任何回复,这名研究人员在 8 月 23 日有意毁损了这家公司的主页,试图再次警告这家公司及其用户。
这位研究人员写道:" 该网站已被善意的第三方关闭了。该厂家任由网站敞开,允许任何脚本小子获取任何和所有的客户信息。这包括明文密码以及送货地址,该厂家口口声称不包括送货地址。如果你已经购买了一个设备,现在无法使用,我很抱歉。但是有成千上万的人在这里注册了帐户,出于善意,我不能任由所有的信息都任由别人访问。"
没过 24 小时,这家公司删除了这位研究人员的警告信息,并恢复了网站。但该公司并没有修复这些漏洞,这些漏洞依然存在,可以被利用。
除了允许访问用户数据库的漏洞外,这位研究人员发现该公司的网站还暴露了记录用户 PayPal 支付信息的日志。日志显示了用户在 PayPal 上使用的电子邮件地址以及他们付款的日期。
该公司专门向男性销售贞操笼,贞操笼可以与安卓应用程式(没有 iPhone 应用程式)相连接。使用这款应用程式,无论伴侣在什么地方,都可以跟踪男方的行动,因为这款设备可以传输精确到几米的 GPS 坐标。
这不是黑客第一次利用男性性玩具(尤其是贞操笼)的漏洞了。2021 年,一名黑客控制了许多人的设备,并索要赎金。
据当时发现这起黑客活动的一名研究人员称,这名黑客对其中一个受害者叫嚣:" 你的小弟弟现在是我的了!"
而一年前,多位安全研究人员就警告过这家公司,其产品存在严重的漏洞,可能被恶意黑客利用。
这些年来,除了实际的数据泄露外,安全研究人员还在联网性玩具中发现了几个安全问题。2016 年,研究人员在配备蓝牙的 " 内裤克星 " 中发现了一个漏洞,任何人都可以通过互联网远程控制这款性玩具。2017 年,一家智能性玩具制造商同意和解两名女性提起的诉讼,她们指控这家公司通过收集和记录用户 " 高度私密和敏感的数据 " 来监视她们。