- Исследователи нашли способ извлечь адреса E -Mail из учетных записей пользователей Lovense
- Было опубликовано сокращение, но предположительно оно не работает, как задумано
- Компания утверждает
Lovense, интеллектуальная, дискозированная игрушка специализированных компаний -специализированных секс -технологий, имела восприимчивость к своим системам, которая может позволить субъектам угроз отображать частные адреса E -Mail людей.
Все, что им было нужно, было имя пользователя этого человека, и, по -видимому, это относительно легко получить.
Недавно исследователи безопасности под псевдонимом Bobdahacker, Eva, Rebane, обнаружили, что они могут зарегистрироваться в своей собственной учетной записи Lovense, если они видели имя пользователя человека на форуме или во время шоу CAM (что не является чем -то особенным, обычной учетной записи пользователя) и сценария для использования в поддельной E -Mail.
Эта фальшивая e -Mail добавлена в систему чата как «друг». Однако, если система обновляет список контактов, реальный адрес E -Mail, стоящий за именем пользователя в фоновом коде, случайно отображается.
Автоматизация пилтрации
Весь процесс может быть автоматизирован и проведен менее чем за секунду, что означает, что игроки угроз неправильно использовали его, чтобы достичь тысяч, если не сотни тысяч адресов E -Mail, быстро и эффективно.
У компании есть около 20 миллионов клиентов по всему миру, поэтому зона атаки довольно большая.
Ошибка была обнаружена вместе с другой, еще более опасной ошибкой, которая позволила принять учет. Хотя он был быстро исправлен компанией, она еще не была исправлена. Видимо, компании все еще нужны месяцы, чтобы закрыть утечку:
«Мы начали долгосрочный план реконструкции, который займет около десяти месяцев, при этом не менее четырех месяцев необходимо для полного реализации полного решения», -сказал Лавенс исследователю.
«Мы также оценили более быструю, одну -месячную коррекцию. Тем не менее, ему придется немедленно обновить всех пользователей, что будет нарушать поддержку более старых версий. Мы решили от этого подхода в пользу более стабильного и дружественного решения».
Lovense также сказал, что он использовал прокси -функцию в качестве сокращения, но, очевидно, она не работает, как предполагалось.
Как оставаться в безопасности
Атака особенно беспокоит, поскольку такие записи могут содержать более чем достаточную конфиденциальную информацию для хакеров, чтобы запустить высоко персонализированные, успешные фишинговые кампании, что приводит к краже личных данных, мошенничество с проволокой и даже атаки вымогателей.
Если вы боитесь, что вы, возможно, попали в инцидент, не волнуйтесь — есть ряд методов, которые вы можете выяснить. Havellenpwned? Вероятно, это лучший ресурс, просто чтобы проверить, затронуты ли ваши данные, и предлагает обзор каждого крупного кибер -инцидента в последние годы.
Если вы сохраняете пароли в учетной записи Google, вы можете использовать пароль пароля Google, чтобы определить, был ли он скомпрометирован или зарегистрироваться для одного из лучших вариантов для менеджеров паролей, которые мы собрали, чтобы гарантировать, что ваши регистрации защищены.
Над Звуковой сигнал
Вы также могли бы понравиться
