Виробник інтернет-пристроїв для інтиму Lovense оголосив про усунення двох критичних вразливостей, які могли призвести до розкриття особистих електронних адрес користувачів і дозволити зловмисникам віддалено отримати доступ до облікових записів.
Про це розповідає ProIT
Відновлення безпеки та вимога оновлення додатка
Компанія повідомила, що виявлені недоліки повністю виправлені, однак для подальшого користування всіма функціями додатка користувачам необхідно оновити програмне забезпечення. Про це зазначено в офіційній заяві, підписаній генеральним директором Lovense Даном Лю.
Юридична реакція на розголошення вразливостей
Після публічного розкриття інформації про інцидент представники компанії заявили про можливість юридичних кроків у відповідь на, за їхніми словами, недостовірні повідомлення щодо вразливостей. У заяві голови компанії йдеться, що Lovense досліджує можливість подання судового позову, хоча не уточнюється, чи йдеться про публікації у медіа, чи про заяви дослідника з кібербезпеки.
Відомо, що деталі проблем були оприлюднені цього тижня незалежним дослідником під псевдонімом BobDaHacker. Він повідомив, що повідомив компанію про дві вразливості ще на початку року, а результати дослідження оприлюднив після того, як Lovense заявила, що повне усунення недоліків може зайняти до 14 місяців, замість швидшого – протягом місяця, яке б вимагало інформування користувачів про необхідність оновлення додатків.
У своїй заяві Лю наголосив: “немає жодних доказів того, що дані користувачів, включно з електронними адресами чи інформацією облікових записів, були скомпрометовані чи використані невідповідним чином”.
Однак невідомо, як саме компанія дійшла такого висновку, оскільки низка незалежних видань перевірила наявність уразливості, створивши новий акаунт і дозволивши досліднику виявити електронну адресу, пов’язану з ним.
Lovense не надала відповідей на питання щодо технічних інструментів, які могли б підтвердити чи спростувати факт витоку або несанкціонованого доступу до даних користувачів.
Експерти зазначають, що використання юридичних інструментів для спроби заборонити розголошення інформації про вразливості не є рідкістю, попри відсутність суворих обмежень щодо таких публікацій у США. Подібні випадки вже траплялися: раніше цього року незалежний американський журналіст відмовився виконувати судову вимогу про зупинку публікації про атаку з використанням програм-вимагачів на британську приватну медичну компанію HCRG. А у 2023 році посадовець Флориди погрожував досліднику кримінальним переслідуванням за виявлення і приватне повідомлення про вразливість у системі судових записів округу.