Lovense’in Güvenlik Açıkları Cezalandırdı
Bir güvenlik araştırmacısı, cinsel oyuncak üreticisi Lovense’in kullanıcılarının özel e-posta adreslerini açığa çıkaran ve herhangi bir kullanıcının hesabının ele geçirilmesine olanak tanıyan iki güvenlik açığını tam olarak düzeltmediğini iddia etti.
Araştırmacı, BobDaHacker takma adını kullanan kişi, pazartesi günü hataların detaylarını yayımladı. Lovense’in, bazı eski ürünlerinin kullanıcılarını rahatsız etmemek için güvenlik açıklarını düzeltmek için 14 aya ihtiyacı olacağını açıkladığını belirtti.
Lovense’in Popülerliği ve Ekosistemi
Lovense, internet bağlantılı cinsel oyuncakların en büyük üreticilerinden biri olarak dünyada 20 milyondan fazla kullanıcısı olduğunu bildiriyor. Şirket, 2023 yılında ChatGPT’yi ürünlerine entegre eden ilk cinsel oyuncak üreticileri arasında yer almaları ile dikkat çekti.
Ancak cinsel oyuncakları internete bağlamanın getirdiği güvenlik riskleri, kullanıcıları gerçek dünya tehditlerine maruz bırakabiliyor. Bu riskler arasında, cihazların bloke edilmesi ve veri gizliliği ihlalleri yer alıyor.
Kullanıcı E-posta adresleri Açığa Çıktı
BobDaHacker, Lovense uygulamasının kullanıcıların e-posta adreslerini sızdırdığını keşfetti. Uygulamada diğer kullanıcıların e-posta adresleri gizli olsa da, ağ analizi araçları kullanarak uygulamanın veri akışını denetleyenler bu adresleri görebiliyor. Örneğin, bir kullanıcı başka bir kullanıcıyı sessize alırken diğerinin e-posta adresi görünebiliyor.
Ayrıca, BobDaHacker, bir oturum açmış hesabın ağ isteğini değiştirerek, herhangi bir Lovense kullanıcı adını onları kayıtlı e-posta adresi ile ilişkilendirebildiğini ve bu sayede herhangi bir müşteri‘nin tanınabilir bir e-posta adresine maruz bırakılabileceğini ifade etti.
“Bu durumu gidermek isteyen kameramanlar için özellikle kötü bir durumdu, çünkü kullanıcı adlarını kamuya açık olarak paylaşırken kişisel e-posta adreslerinin açığa çıkmasını istemezler,” dedi BobDaHacker blog yazısında.
TechCrunch, Lovense’de yeni bir hesap oluşturdu ve BobDaHacker’a kayıtlı e-posta adreslerini açıklaması için başvurdu. Araştırmacı, bunu gerçekleştirmek için sadece bir dakika harcadı. Bu süreci otomatikleştirerek, bir kullanıcının e-posta adresini bunun altında bir saniye içinde elde edebileceklerini belirtti.
Hesap Ele Geçirme Açığı
BobDaHacker, ikinci bir güvenlik açığının herhangi bir Lovense kullanıcısının hesabını sadece e-posta adresi ile ele geçirmeye izin verdiğini açıkladı. Bu e-posta adresini, ilk açıktan elde etmek mümkün. Bu açığın, şifreye gerek kalmadan Lovense hesabına erişim sağlayan kimlik doğrulama jetonları oluşturulmasına olanak tanıdığını söyledi. Böylece, bir saldırgan, hesabın gerçek kullanıcısıymış gibi uzaktan kontrol edebiliyor.
“Kameramanlar bu araçları iş için kullanıyor, bu yüzden bu büyük bir mesele. Herkes, e-posta adresini bilmekle herhangi bir hesabı ele geçirebilir,” diyor BobDaHacker.
Bu güvenlik açıkları, Lovense kullanıcısı veya cihazı olan herkesi etkiliyor.
BobDaHacker, 26 Mart’ta Lovense’e bu açıkları açıkladı. Internet of Dongs adlı projeyi kullanarak, cinsel oyuncakların güvenliğini ve gizliliğini geliştirmeye odaklanıyor ve cihaz üreticilerine sorunları rapor etmeye yardım ediyor.
BobDaHacker’a, HackerOne üzerinden toplamda 3,000 $ değerinde ödül verildi. Ancak, güvenlik açıklarının gerçekten düzeltilip düzeltilmediği konusunda birkaç hafta boyunca yazışma yaptılar. Araştırmacı, Lovense’in açıkları düzeltmek için 14 ay talep etmesinin ardından bu hafta kamuoyuna açıkladı. (Güvenlik araştırmacıları, genellikle bir güvenlik hatasına düzeltme yapmaları için üç aydan az süre tanır.) Şirket, BobDaHacker’a, daha hızlı bir düzeltmenin zorunlu bir güncelleme gerektirdiğini belirtti.
Güvenlik araştırmacısı, şirketle açıklamadan önce iletişime geçti. BobDaHacker, blog yazısında, hatanın başka bir araştırmacı tarafından Eylül 2023’te tanımlandığını ve düzeltme yapılmadan kapatıldığını ifade etti.
Lovense, TechCrunch’a yayımlanmadan önce gönderdiğimiz bir e-postaya yanıt vermedi. Yayımladıktan sonra, Lovense temsilcisi, hesap ele geçirme hatasının “tam olarak düzeltildiğini” ve e-posta ifşası hatasının bir güncelleme ile düzeltileceğini belirtti. Ancak, temsilci, müşterileri bu güvenlik açıkları hakkında kamuya bilgilendirmeye dair bir taahhütte bulunmadı.
Habere Lovense’in açıklaması ile güncellenmiştir.
