Lovense, el fabricante de juguetes para adultos conectados a Internet, ha confirmado que ha solucionado una vulnerabilidad de seguridad que permite a los atacantes hacerse cargo de la cuenta del usuario de forma remota revelando la dirección de correo electrónico privada del usuario.
La compañía dijo que el error ha sido «completamente resuelto», pero su director ejecutivo ahora está considerando tomar medidas legales después de la divulgación.
En una declaración compartida con TechCrunch, el CEO de Lovense, Dan Liu, dijo que el fabricante de juguetes sexuales está «examinando posibles acciones legales» en respuesta a informes falsos del error. Cuando TechCrunch le preguntó, la compañía no aclaró si los investigadores de seguridad se referían a informes de medios o revelaciones.
Los detalles sobre el error salieron a la luz esta semana después de que los investigadores de seguridad continuaron con el hacker de Bobda en el mango revelaron que informaron dos errores de seguridad al fabricante de juguetes sexuales a principios de este año. Los investigadores publicaron sus hallazgos después de afirmar que tomaría 14 meses abordar completamente la vulnerabilidad, en lugar de aplicar las «correcciones de mes más rápidas» que los usuarios necesitan actualizar sus aplicaciones.
En una declaración que surge de Liu, Lovense dijo que los usuarios deben actualizar la aplicación antes de poder reanudar utilizando todas las funciones de la aplicación.
En un comunicado, Liu argumentó que «no hay evidencia que sugiera que los datos del usuario, incluidas las direcciones de correo electrónico e información de la cuenta, se haya infringido o se haya utilizado mal». No está claro que Lovense haya llegado a esta conclusión, dado que TechCrunch (y otros puntos de venta) validó el error de divulgación de correo electrónico configurando una nueva cuenta y pidiendo a los investigadores que identifiquen direcciones de correo electrónico relevantes.
TechCrunch debe pedirle a Lovense los significados técnicos como registros y determinar si hay un compromiso en los datos del usuario, pero el portavoz no respondió.
No es desconocido que una organización recurra a demandas legales y amenazas que buscan bloquear la divulgación de casos de seguridad vergonzosos, a pesar de las pocas reglas y restricciones en los Estados Unidos que prohíben dichos informes.
A principios de este año, los periodistas independientes de EE. UU. Rechazaron las amenazas legales de los mandatos judiciales del Reino Unido, ya que informaron con precisión los ataques de ransomware contra el gigante de la salud privada del Reino Unido HCRG. En 2023, los funcionarios del condado en el condado de Hillsboro, Florida, amenazaron los cargos penales contra los investigadores de seguridad bajo las leyes de piratería informática del estado para identificar y revelar personalmente fallas de seguridad en el sistema de registros judiciales del condado que expuso el acceso a aplicaciones sensibles.
Source link
