Fabricante de juguetes sexuales Lovense amenaza con acciones legales después de corregir fallos de seguridad que expusieron los datos de los usuarios.
Créditos de la imagen: Eugenia Shulim / Getty Images
Lovense, una fabricante de juguetes sexuales conectados a internet, ha confirmado que ha solucionado un par de vulnerabilidades de seguridad que expusieron los direcciones de correo electrónico privadas de los usuarios y permitieron a los atacantes tomar el control de cualquier cuenta de usuario.
Aunque la empresa dijo que los errores estaban “totalmente resueltos,” su director ejecutivo ahora está considerando tomar medidas legales tras la revelación.
En un comunicado compartido con TechCrunch, el CEO de Lovense, Dan Liu, dijo que la fabricante de juguetes sexuales estaba “investigando la posibilidad de tomar medidas legales” en respuesta a informes supuestamente erróneos sobre el error. Cuando TechCrunch le preguntó, la empresa no respondió para aclarar si se refería a informes de medios o a una revelación de un investigador de seguridad.
Los detalles del error salieron a la luz esta semana después de que un investigador de seguridad, que se hace llamar BobDaHacker, revelara que había informado a la fabricante de juguetes sexuales sobre los dos errores de seguridad a principios de este año. El investigador publicó sus hallazgos después de que Lovense afirmara que tardaría 14 meses en abordar completamente las vulnerabilidades en lugar de aplicar una “solución más rápida de un mes” que habría requerido alertar a los usuarios para que actualizaran sus aplicaciones.
Lovense dijo en su comunicado, atribuido a Liu, que las soluciones implementadas requerirán que los usuarios actualicen sus aplicaciones antes de poder volver a utilizar todas las características de la aplicación.
En el comunicado, Liu afirmó que no hay “evidencia que sugiera que ningún dato de usuario, incluidos los correos electrónicos o la información de la cuenta, ha sido comprometido o mal utilizado.” No está claro cómo Lovense llegó a esta conclusión, dado que TechCrunch (y otros medios) verificaron el error de revelación de correos electrónicos creando una nueva cuenta y pidiéndole al investigador que identificara la dirección de correo electrónico asociada.
TechCrunch preguntó a Lovense qué medios técnicos, como los registros, la empresa tiene para determinar si se ha visto comprometida la información de los usuarios, pero un portavoz no respondió.
No es inusual que las organizaciones recurran a demandas y amenazas legales para intentar bloquear la revelación de incidentes de seguridad embarazosos, a pesar de que en los EE. UU. no hay muchas reglas o restricciones que prohíban tales informes.
Antes de este año, un periodista independiente de EE. UU. rechazó una amenaza legal de una orden judicial británica para informar con precisión sobre un ataque de ransomware a la empresa de salud privada británica HCRG. En 2023, un funcionario del condado de Hillsborough, Florida, amenazó con cargos criminales contra un investigador de seguridad bajo las leyes de hacking del estado por identificar y revelar privadamente una vulnerabilidad en el sistema de registros judiciales del condado que expuso el acceso a documentos sensibles.