Seks oyuncakları üreticisi Lovense’in sisteminde tespit edilen bir açık, sadece kullanıcı adını bilerek müşterilerin e-posta adreslerinin bulunmasını sağlıyor. Araştırmacılara göre Lovense, uyarılmasına rağmen 14 aydır bunu dikkate almıyor.
Dünyaca ünlü seks oyuncakları markası Lovense, kullanıcı gizliliğini tehdit eden bir güvenlik açığıyla gündemde.
Güvenlik araştırmacısı, “etik hacker” BobDaHacker tarafından tespit edilen açığa göre, bir kullanıcının yalnızca kullanıcı adı bilinerek gerçek e-posta adresi elde edilebiliyor.
Araştırmaya göre saldırganlar, Lovense’in belirli bir API uç noktasına POST isteği göndererek şifreleme anahtarlarını elde edebiliyor. Bu anahtarlarla kullanıcı adını şifreleyen saldırgan, başka bir API yoluyla şifrelenmiş sahte e-posta adresine ulaşıyor. Ancak aynı anahtarlarla bu adresin şifresi kolayca çözülebiliyor ve kullanıcının gerçek e-posta adresi ortaya çıkıyor.
“14 ay boyunca çözmediler”
BobDaHacker, konuyla ilgili blog yazısında, bu işlemin kullanıcı adı başına yaklaşık 30 saniye sürdüğünü, ancak bir komut dosyasıyla kırılmasının bir saniyeden daha kısa sürebileceğini söyledi.
Yalnızca birkaç saniyelik bir işlemle otomatikleştirilebilen bu yöntem, kullanıcıları kimlik avı, çevrimiçi ifşa ve çevrimiçi taciz gibi ciddi risklerle karşı karşıya bırakıyor.
BobDaHacker, söz konusu açığın şirket tarafından 14 ay boyunca çözülmediğini, bazı güvenlik açıklarının ise “çözüldü” olarak işaretlenmesine rağmen sistemde çalışmaya devam ettiğini vurguladı. Benzer şekilde, başka bir araştırmacı Krissy de aynı açığı daha önce bulduğunu ancak Lovense’in bu konuda iletişim eksikliği ve yetersiz yanıt verdiğini belirtti.
Lovense: “Haziran ayında tamamen düzelttik”
Tepkilerin ardından Lovense, Cybernews‘e ulaşarak güvenlik açıklarını kabul etti ve sorunun “Haziran sonunda tamamen düzeltildiğini” iddia etti. Şirket, çözüm sürecinin teknik karmaşıklıklar nedeniyle aşamalı ilerlediğini ve güncellemelerin tüm kullanıcıları kapsaması için zaman tanındığını belirtti.
Buna karşın uzmanlar, Lovense’in API mimarisinin zayıflıklar barındırmaya devam ettiğini ve kritik kullanıcı bilgilerinin yeterince korunmadığını savunuyor. Araştırmacılar, kullanıcıların doğrudan kendilerine ait olmayan tek kullanımlık e-posta adresleriyle hesap oluşturmalarını tavsiye ediyor.
Yorum bırakın