Laporan keselamatan yang mengecam telah muncul mendedahkan bagaimana pengilang mainan dewasa Lovense didakwa mengelirukan penyelidik keselamatan mengenai pembaikan kelemahan kritikal selama hampir dua tahun. Syarikat tersebut dituduh mendakwa pepijat telah diselesaikan sedangkan ia masih aktif, menurunkan penarafan keterukan untuk mengurangkan pembayaran, dan melayan penyelidik secara tidak konsisten dalam program bounty pepijat mereka.
Kelemahan Kritikal Kekal Tidak Diperbaiki Walaupun Ada Dakwaan
Isu keselamatan tertumpu pada dua masalah utama: pendedahan e-mel dan kelemahan pengambilalihan akaun. Pepijat pendedahan e-mel membenarkan sesiapa sahaja menukar nama pengguna kepada alamat e-mel melalui manipulasi API, mengambil masa kira-kira 30 saat secara manual atau kurang daripada satu saat dengan skrip automatik. Ini menimbulkan risiko khusus untuk model kamera yang berkongsi nama pengguna secara terbuka tetapi mahu merahsiakan e-mel peribadi.
Lebih serius lagi ialah kelemahan pengambilalihan akaun. Penyerang boleh menjana token pengesahan hanya menggunakan alamat e-mel, memintas keperluan kata laluan sepenuhnya. Token ini berfungsi merentasi pelbagai platform Lovense termasuk Extension, Connect, StreamMaster, dan juga akaun pentadbir mereka.
Platform Yang Terjejas:
- Lovense Extension
- Lovense Connect
- StreamMaster
- Cam4.ly
- Akaun pentadbir
- Sistem pemesejan XMPP
Corak Amalan Menipu Muncul
Komuniti teknologi telah menyatakan kemarahan terhadap apa yang kelihatan sebagai corak penipuan yang sistematik. Bukti menunjukkan pepijat pengambilalihan akaun yang sama pertama kali dilaporkan pada September 2021, dengan Lovense mendakwa ia telah diperbaiki dalam masa dua minggu. Walau bagaimanapun, kelemahan tersebut kekal aktif dan ditemui semula secara bebas pada 2023.
Tingkah laku jenis ini sepatutnya menyebabkan pemimpin syarikat didakwa secara jenayah, ini adalah kecuaian yang disengajakan.
Garis masa mendedahkan ketidakkonsistenan yang membimbangkan. Selepas pada mulanya menilai laporan 2021 sebagai keterukan tinggi, Lovense menurunkannya kepada sederhana sebelum pembayaran, mengurangkan ganjaran daripada berpotensi beribu-ribu kepada 350 dolar Amerika. Mereka mewajarkan ini dengan mendakwa aplikasi yang terjejas telah lapuk dengan sedikit pengguna, walaupun kelemahan tersebut menjejaskan sistem semasa.
Garis Masa Isu Keselamatan:
- 4 September 2021: Laporan pertama pepijat pengambilalihan akaun di HackerOne (keterukan tinggi)
- 18 September 2021: Lovense menurunkan taraf kepada keterukan sederhana, membayar $350 USD, mendakwa "diperbaiki"
- 2023: Kelemahan yang sama ditemui semula secara bebas oleh penyelidik berbeza
- 28 Julai 2023: Kelemahan pendedahan e-mel masih berfungsi walaupun dakwaan syarikat
 |
|---|
| Catatan blog ini memperincikan isu berterusan dengan pengendalian Lovense terhadap kelemahan keselamatan kritikal, menonjolkan kebimbangan penyelidik |
Kesan Industri dan Kebimbangan Kepercayaan
Pakar keselamatan bimbang tingkah laku ini melemahkan keseluruhan ekosistem pendedahan yang bertanggungjawab. Apabila syarikat berbohong mengenai pembaikan dan memanipulasi penarafan keterukan, ia tidak menggalakkan penyelidik daripada melaporkan kelemahan secara peribadi. Ini boleh mendorong profesional keselamatan ke arah pendedahan awam atau menjual eksploit di pasaran kelabu dan bukannya bekerjasama dengan syarikat untuk menyelesaikan masalah.
Kes ini telah menarik perhatian khusus kerana sifat sensitif produk yang terlibat. Pengguna mainan dewasa yang disambungkan ke internet mempunyai jangkaan privasi yang tinggi, menjadikan pelanggaran keselamatan amat merosakkan. Keupayaan untuk mengambil alih akaun atau mendedahkan e-mel peribadi boleh membolehkan penguntitan atau gangguan.
Respons Syarikat Dipertikaikan
Lovense dilaporkan memberitahu wartawan bahawa kelemahan tersebut telah diperbaiki sepenuhnya menjelang akhir Jun 2023. Walau bagaimanapun, penyelidik mendakwa telah berjaya menguji pepijat pendedahan e-mel selewat 28 Julai 2023, menunjukkan syarikat mungkin terus salah nyata keadaan kepada saluran media.
Insiden ini menyerlahkan persoalan yang lebih luas mengenai akauntabiliti dalam ruang Internet of Things, di mana peranti yang disambungkan sering mengendalikan data peribadi yang intim tetapi mungkin kekurangan pengawasan keselamatan yang kukuh.
Rujukan: Lovense: The Company That Lies to Security Researchers