Компания Lovense, производитель умных секс-игрушек с дистанционным управлением через интернет, допустила серьёзную утечку данных. По словам исследователя безопасности под псевдонимом BobDaHacker, в приложении Lovense можно было узнать электронную почту любого пользователя, зная лишь его никнейм. Это открывало возможность захвата чужих аккаунтов.
BobDaHacker обнаружил уязвимость ещё в марте и сообщил об этом компании, но Lovense не спешила её устранять. Исследователь создал скрипт, который за секунду превращает имя пользователя в его имейл.
Позже выяснилось, что, зная имейл и используя специальный токен, можно полностью захватить аккаунт другого человека. Lovense утверждает, что устранила ошибку ещё в апреле, но BobDaHacker говорит, что это не так.
Компания заявила, что полное исправление займёт до 14 месяцев, так как быстрый вариант потребует от всех пользователей немедленного обновления приложения, что может вызвать проблемы.
В итоге Lovense выпустила обновление, которое, по их словам, решает проблему. Но полная защита начнёт действовать только после того, как все пользователи установят новую версию.