Под замком явно должны были быть данные пользователей, но оказалось кое-что другое…
Неназванная в целях безопасности американская компания, производящая мужские пояса верности, случайно раскрыла массу конфиденциальных данных о покупателях их секс-продукции. В открытый доступ попали IP-адреса, электронная почта и даже домашние адреса клиентов. А в некоторых случаях и вовсе точные GPS-координаты самих «умных замков» в реальном времени.
Причиной утечки стали уязвимости на серверах компании, выявленные исследователем в области кибербезопасности, который также пожелал остаться анонимным. По его словам, он получил доступ к базе данных, содержащей записи более 10 000 пользователей, благодаря двум уязвимостям.
Эксперт обнаружил серьёзные недоработки в защите персональных данных клиентов и 17 июня оповестил компанию в надежде, что та быстро устранит уязвимости. Однако даже на момент публикации данной новости, спустя больше двух месяцев, компания так и не залатала найденные дыры безопасности.
«Эксплуатировать уязвимости очень легко. Это безответственно», — заявил исследователь, выразив обеспокоенность халатным отношением производителя к безопасности личных данных своих клиентов.
Помимо доступа к базе данных, на сайте компании обнаружились ещё и логи платежей PayPal, содержащие их электронную почту и дату оплаты. По мнению эксперта, компания проигнорировала базовые правила информационной безопасности, оставив конфиденциальную информацию клиентов открытой для злоумышленников.
Как уже отмечалось ранее, умные пояса верности способны передавать GPS-координаты своего владельца в режиме реального времени, причём с точностью до нескольких метров. Функция позволяет доверенному лицу отслеживать перемещения своего партнёра из любой точки мира через мобильное приложение.
Однако свободный доступ к этой функции третьих лиц открывает злоумышленникам широкие возможности для слежки и вторжения в частную жизнь ничего не подозревающих пользователей.
Примечательно, что это отнюдь не первый случай взлома интимных гаджетов для мужчин, и далеко не самый опасный. Так, несколько лет назад в аналогичной продукции компании Qiui была обнаружена уязвимость , позволяющая удалённым злоумышленником полностью блокировать похожие «умные замки» без физической возможности открыть и снять их. За разблокировку хакеры требовали денежный выкуп у своих жертв.
Несмотря на многочисленные инциденты со взломом и утечками данных, производители интимных игрушек, похоже, до сих пор недостаточно серьёзно относятся к обеспечению кибербезопасности своих систем и устройств. Они регулярно игнорируют предупреждения об уязвимостях от исследователей и продолжают выпускать в продажу небезопасные продукты.
Потребители должны чётко понимать риски использования подобных «аксессуаров», особенно если последние обладают умными функциями по типу удалённого управления или отслеживания местоположения владельца.
Наш канал — питательная среда для вашего интеллекта