Производитель интернет-устройств для интимной жизни Lovense объявил об устранении двух критических уязвимостей, которые могли привести к раскрытию личных электронных адресов пользователей и позволить злоумышленникам удаленно получить доступ к учетным записям.
Об этом сообщает ProIT
Восстановление безопасности и требование обновления приложения
Компания сообщила, что выявленные недостатки полностью исправлены, однако для дальнейшего использования всеми функциями приложения пользователям необходимо обновить программное обеспечение. Об этом указано в официальном заявлении, подписанном генеральным директором Lovense Даном Лю.
Юридическая реакция на раскрытие уязвимостей
После публичного раскрытия информации об инциденте представители компании заявили о возможности юридических шагов в ответ на, по их словам, недостоверные сообщения о уязвимостях. В заявлении главы компании говорится, что Lovense изучает возможность подачи судебного иска, хотя не уточняется, идет ли речь о публикациях в СМИ или о заявлениях исследователя в области кибербезопасности.
Известно, что детали проблемы были обнародованы на этой неделе независимым исследователем под псевдонимом BobDaHacker. Он сообщил, что уведомил компанию о двух уязвимостях еще в начале года, а результаты исследования обнародовал после того, как Lovense заявила, что полное устранение недостатков может занять до 14 месяцев, вместо более быстрого – в течение месяца, что потребовало бы информирования пользователей о необходимости обновления приложений.
В своей заявлении Лю подчеркнул: “нет никаких доказательств того, что данные пользователей, включая электронные адреса или информацию учетных записей, были скомпрометированы или использованы ненадлежащим образом”.
Однако неизвестно, как именно компания пришла к такому выводу, поскольку ряд независимых изданий проверил наличие уязвимости, создав новый аккаунт и позволив исследователю выявить электронный адрес, связанный с ним.
Lovense не предоставила ответов на вопросы относительно технических инструментов, которые могли бы подтвердить или опровергнуть факт утечки или несанкционированного доступа к данным пользователей.
Эксперты отмечают, что использование юридических инструментов для попытки запретить раскрытие информации о уязвимостях не является редкостью, несмотря на отсутствие строгих ограничений на такие публикации в США. Подобные случаи уже имели место: ранее в этом году независимый американский журналист отказался выполнять судебное требование о прекращении публикации о нападении с использованием программ-вымогателей на британскую частную медицинскую компанию HCRG. А в 2023 году чиновник Флориды угрожал исследователю уголовным преследованием за выявление и частное уведомление о уязвимости в системе судебных записей округа.