El fabricante de juguetes sexuales Lovense fue atrapado filtrando las direcciones de correo electrónico de los usuarios y exponiendo sus cuentas a posibles tomas.
Image Credits:Eugenia Shulim / Getty Images
Un investigador de seguridad dice que el fabricante de juguetes sexuales Lovense ha fallado en corregir completamente dos fallos de seguridad que exponen la dirección de correo electrónico privada de sus usuarios y permiten la toma de cualquier cuenta de usuario.
El investigador, que se hace llamar BobDaHacker, publicó detalles de los errores el lunes después de que Lovense afirmara que necesitaría 14 meses para corregir los fallos para no incomodar a los usuarios de algunos de sus productos legados.
Lovense es uno de los mayores fabricantes de juguetes sexuales conectados a internet, y se dice que tiene más de 20 millones de usuarios. La empresa dio que hablar en 2023 al convertirse en uno de los primeros fabricantes de juguetes sexuales en integrar ChatGPT en sus productos.
Pero los riesgos inherentes de conectar juguetes sexuales a internet pueden poner en peligro a los usuarios de daños en el mundo real si algo sale mal, incluyendo bloqueos de dispositivos y fugas de privacidad de datos.
BobDaHacker dijo que descubrieron que Lovense estaba filtrando las direcciones de correo electrónico de otras personas mientras usaban la aplicación. Aunque las direcciones de correo electrónico de otros usuarios no eran visibles para los usuarios en la aplicación, cualquier persona que usara una herramienta de análisis de red para inspeccionar los datos que entran y salen de la aplicación vería la dirección de correo electrónico de otro usuario al interactuar con ellos, como al silenciarlos.
Modificando la solicitud de red desde una cuenta iniciada de sesión, BobDaHacker dijo que podían asociar cualquier nombre de usuario de Lovense con su dirección de correo electrónico registrada, exponiendo potencialmente a cualquier cliente que se haya suscrito a Lovense con una dirección de correo electrónico identificable.
“Esto era especialmente malo para los modelos de cámaras que comparten sus nombres de usuario públicamente pero obviamente no quieren que sus correos electrónicos personales se expongan,” escribió BobDaHacker en su entrada de blog.
TechCrunch verificó este error creando una nueva cuenta en Lovense y pidiendo a BobDaHacker que revelara nuestra dirección de correo electrónico registrada, lo que hizo en unos minutos. Al automatizar el proceso con un script de computadora, el investigador dijo que podían obtener la dirección de correo electrónico de un usuario en menos de un segundo.
BobDaHacker dijo que un segundo error permitía tomar el control de cualquier cuenta de Lovense usando solo la dirección de correo electrónico, que podría derivarse del primer error. Este error permite a cualquiera crear tokens de autenticación para acceder a una cuenta de Lovense sin necesidad de una contraseña, permitiendo a un atacante controlar la cuenta como si fuera el usuario real.
“Los modelos de cámaras usan estos instrumentos para trabajar, así que esto era un gran problema. Literalmente, cualquiera podría tomar el control de cualquier cuenta solo conociendo la dirección de correo electrónico,” dijo BobDaHacker.
Los errores afectan a cualquier usuario de Lovense o dispositivo.
BobDaHacker informó los errores a Lovense el 26 de marzo a través del Internet of Dongs, un proyecto que busca mejorar la seguridad y la privacidad de los juguetes sexuales y ayuda a informar y divulgar fallos a los fabricantes de dispositivos.
Según BobDaHacker, recibió un total de $3,000 a través del sitio de recompensas por errores HackerOne. Pero después de varias semanas de discusiones sobre si los errores realmente se habían corregido, el investigador hizo pública esta semana después de que Lovense pidiera 14 meses para corregir los errores. La empresa le dijo a BobDaHacker en el mismo correo electrónico que había decidido contra una “solución más rápida, de un mes”, que habría requerido forzar a los clientes que usaban productos más antiguos a actualizar sus aplicaciones de inmediato.
El investigador notificó a la empresa antes de la divulgación, según un correo electrónico visto por TechCrunch. BobDaHacker escribió en una actualización de su entrada de blog el martes que el error podría haber sido identificado por otro investigador tan atrás como septiembre de 2023, pero el error se supuso cerrado sin una solución.
Lovense no respondió a un correo electrónico de TechCrunch.