Penisi olan insanlar için internet üzerinden bir ortak tarafından kontrol edilebilen bir bekaret cihazı üreten bir şirket, çeşitli kusurlar nedeniyle kullanıcıların e-posta adreslerini, düz metin şifrelerini, ev adreslerini ve IP adreslerini ve bazı durumlarda GPS koordinatlarını açığa çıkarıyor Bir güvenlik araştırmacısına göre sunucularında.
Meslek hayatını ilginçlik ile ilgili yaptığı işlerden ayırmak istediği için isminin gizli kalmasını isteyen araştırmacı, iki güvenlik açığı sayesinde 10.000’den fazla kullanıcının kayıtlarını içeren bir veri tabanına erişim sağladığını söyledi. Araştırmacı, hangi verilere erişebileceğini görmek için hatalardan yararlandığını söyledi. TechCrunch ile gönderip paylaştığı e-postanın ekran görüntüsüne göre, 17 Haziran’da şirkete ulaşarak güvenlik açıklarını düzeltmelerini ve kullanıcı verilerini korumalarını sağlamak amacıyla onları sorunlar konusunda uyardı.
Yayınlanma tarihi itibarıyla şirket henüz güvenlik açıklarını gidermedi ve TechCrunch’tan gelen tekrarlanan yorum taleplerine yanıt vermedi.
“Her şeyin istismar edilmesi çok kolay. Ve bu sorumsuz bir davranış,” dedi araştırmacı TechCrunch’a. “Bu yüzden en büyük umudum ya sizinle ya da benimle iletişime geçip her şeyi düzeltmeleridir.”
Güvenlik açıkları giderilmediğinden TechCrunch, verileri hâlâ risk altında olan kullanıcılarını korumak amacıyla şirketin kimliğini belirtmiyor. TechCrunch ayrıca şirketin web sunucusuyla temasa geçti ve cihaz üreticisinin yanı sıra Çin’in Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT) de şirketi uyarma çabasıyla uyarılacağını söyledi.
Herhangi bir yanıt alamadığı göz önüne alındığında araştırmacı, şirketi ve kullanıcılarını tekrar uyarmak amacıyla 23 Ağustos’ta şirketin ana sayfasını tahrif etti.
“Site hayırsever bir üçüncü tarafça devre dışı bırakıldı. [REDACTED] Siteyi sonuna kadar açık bırakarak herhangi bir senaryo çocuğunun her türlü müşteri bilgisini almasına olanak tanıdı. Buna düz metin şifreler de dahildir ve bunun tersi [REDACTED] teslimat adreslerini de talep etti. Rica ederim!” araştırmacı yazdı. “Fiziksel bir ünite için ödeme yaptıysanız ve şu anda onu kullanamıyorsanız özür dilerim. Ancak burada hesapları olan binlerce insan var ve iyi niyetle her şeyi kapmak için bırakamam.”
24 saatten kısa bir süre sonra şirket, araştırmacının uyarısını kaldırdı ve web sitesini geri yükledi. Ancak şirket, mevcut ve sömürülmeye devam eden kusurları düzeltmedi.
Araştırmacı, kullanıcıların veritabanına erişmesine olanak tanıyan kusurlara ek olarak, şirketin web sitesinin kullanıcıların PayPal ödemelerinin kayıtlarını da açığa çıkardığını buldu. Günlükler, kullanıcıların PayPal’da kullandıkları e-posta adreslerini ve ödemeyi yaptıkları günü gösterir.
Şirket, penisi olan kişiler için bir Android uygulamasına bağlanabilen bir bekaret kafesi satıyor (iPhone uygulaması yok). Dünyanın herhangi bir yerinde bulunabilen bir ortak, uygulamayı kullanarak, cihazın birkaç metreye kadar hassas GPS koordinatları iletmesi koşuluyla, partnerlerinin hareketlerini takip edebiliyor.
Bu, bilgisayar korsanlarının erkeklere yönelik seks oyuncaklarındaki, özellikle de bekaret kafeslerindeki güvenlik açıklarından yararlandığı ilk sefer değil. 2021’de Bir bilgisayar korsanı insanların cihazlarının kontrolünü ele geçirdi ve fidye talep etti.
O dönemde hackleme kampanyasını keşfeden bir araştırmacıya göre, hacker kurbanlardan birine “Senin sikin artık benim” dedi.
Bir yıl önce, güvenlik araştırmacıları şirketi, ürünündeki kötü niyetli bilgisayar korsanlarının kullanabileceği ciddi kusurlar konusunda uyarmıştı.
Yıllar geçtikçe, güvenlik araştırmacıları gerçek veri ihlallerinin yanı sıra çeşitli güvenlik sorunları da buldular. internet bağlantılı seks oyuncakları. 2016 yılında araştırmacılar, Bluetooth destekli “külot avcısında” herkesin seks oyuncağını kontrol et internet üzerinden uzaktan. 2017 yılında akıllı bir seks oyuncağı üreticisi şunları kabul etti: bir davayı sonuçlandırmak Şirketin, kullanıcılarının “son derece mahrem ve hassas verilerini” toplayıp kaydederek kendilerini gözetlediğini iddia eden iki kadın tarafından açılan dava.
Benzer hack veya veri ihlallerini biliyor musunuz? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla güvenli bir şekilde iletişime geçebilir veya [email protected] adresine e-posta gönderebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.