รายงานด้านความปลอดภัยที่น่าตกใจได้เผยให้เห็นว่าผู้ผลิตของเล่นสำหรับผู้ใหญ่อย่าง Lovense ถูกกล่าวหาว่าหลอกลวงนักวิจัยด้านความปลอดภัยเกี่ยวกับการแก้ไขช่องโหว่ร้ายแรงเป็นเวลาเกือบสองปี บริษัทถูกกล่าวหาว่าอ้างว่าแก้ไขบั๊กแล้วทั้งที่ยังคงมีอยู่ ลดระดับความรุนแรงเพื่อลดเงินจ่าย และปฏิบัติต่อนักวิจัยอย่างไม่สม่ำเสมอในโปรแกรม bug bounty ของพวกเขา
ช่องโหว่ร้ายแรงยังคงไม่ได้รับการแก้ไขแม้จะอ้างว่าแก้แล้ว
ปัญหาด้านความปลอดภัยมีจุดศูนย์กลางอยู่ที่ปัญหาใหญ่สองประการ คือ ช่องโหว่การเปิดเผยอีเมลและช่องโหว่การยึดครองบัญชี บั๊กการเปิดเผยอีเมลทำให้ใครก็ตามสามารถแปลงชื่อผู้ใช้เป็นที่อยู่อีเมลผ่านการจัดการ API โดยใช้เวลาประมาณ 30 วินาทีด้วยตนเองหรือน้อยกว่าหนึ่งวินาทีด้วยสคริปต์อัตโนมัติ สิ่งนี้ก่อให้เกิดความเสี่ยงเป็นพิเศษสำหรับนางแบบแคมที่แชร์ชื่อผู้ใช้สาธารณะแต่ต้องการเก็บอีเมลส่วนตัวไว้เป็นความลับ
ที่ร้ายแรงกว่านั้นคือช่องโหว่การยึดครองบัญชี ผู้โจมตีสามารถสร้างโทเค็นการตรวจสอบสิทธิ์โดยใช้เพียงที่อยู่อีเมลเท่านั้น โดยข้ามข้อกำหนดรหัสผ่านทั้งหมด โทเค็นเหล่านี้ทำงานได้ในหลายแพลตฟอร์ม Lovense รวมถึง Extension, Connect, StreamMaster และแม้แต่บัญชีผู้ดูแลระบบ
แพลตฟอร์มที่ได้รับผลกระทบ:
- Lovense Extension
- Lovense Connect
- StreamMaster
- Cam4.ly
- บัญชีผู้ดูแลระบบ
- ระบบส่งข้อความ XMPP
รูปแบบของการปฏิบัติที่หลอกลวงเริ่มปรากฏชัด
ชุมชนเทคโนโลยีได้แสดงความโกรธเกี่ยวกับสิ่งที่ดูเหมือนจะเป็นรูปแบบการหลอกลวงอย่างเป็นระบบ หลักฐานชี้ให้เห็นว่าบั๊กการยึดครองบัญชีเดียวกันนี้ถูกรายงานครั้งแรกในเดือนกันยายน 2021 โดย Lovense อ้างว่าได้แก้ไขภายในสองสัปดาห์ อย่างไรก็ตาม ช่องโหว่ยังคงมีอยู่และถูกค้นพบใหม่อย่างอิสระในปี 2023
พฤติกรรมประเภทนี้ควรทำให้ผู้นำของบริษัทถูกตั้งข้อหาทางอาญาจริงๆ นี่คือการประมาทเลินเล่ออย่างตั้งใจ
ไทม์ไลน์เผยให้เห็นความไม่สอดคล้องที่น่าเป็นห่วง หลังจากให้คะแนนรายงานปี 2021 เป็นความรุนแรงสูงในตอนแรก Lovense ได้ลดระดับลงเป็นปานกลางก่อนการจ่ายเงิน ทำให้รางวัลลดลงจากหลายพันดอลลาร์ที่เป็นไปได้เหลือ 350 ดอลลาร์สหรัฐ พวกเขาให้เหตุผลว่าแอปพลิเคชันที่ได้รับผลกระทบถูกยกเลิกและมีผู้ใช้น้อย แม้ว่าช่องโหว่จะส่งผลกระทบต่อระบบปัจจุบัน
ไทม์ไลน์ของปัญหาด้านความปลอดภัย:
- 4 กันยายน 2021: มีการรายงานบั๊กการยึดครองบัญชีครั้งแรกบน HackerOne (ความรุนแรงระดับสูง)
- 18 กันยายน 2021: Lovense ลดระดับความรุนแรงเหลือปานกลาง จ่ายเงิน 350 ดอลลาร์สหรัฐ อ้างว่า "แก้ไขแล้ว"
- 2023: ช่องโหว่เดียวกันถูกค้นพบอีกครั้งโดยนักวิจัยคนอื่นแบบอิสระ
- 28 กรกฎาคม 2023: ช่องโหว่การเปิดเผยอีเมลยังคงใช้งานได้แม้บริษัทจะอ้างเป็นอย่างอื่น
 |
|---|
| โพสต์บล็อกนี้รายละเอียดปัญหาที่เกิดขึ้นอย่างต่อเนื่องเกี่ยวกับการจัดการช่องโหว่ด้านความปลอดภัยที่สำคัญของ Lovense โดยเน้นความกังวลของนักวิจัย |
ผลกระทบต่ออุตสาหกรรมและความกังวลด้านความไว้วางใจ
ผู้เชี่ยวชาญด้านความปลอดภัยกังวลว่าพฤติกรรมนี้จะทำลายระบบนิเวศการเปิดเผยอย่างรับผิดชอบทั้งหมด เมื่อบริษัทโกหกเกี่ยวกับการแก้ไขและจัดการระดับความรุนแรง มันจะทำให้นักวิจัยท้อใจจากการรายงานช่องโหว่แบบส่วนตัว สิ่งนี้อาจผลักดันให้ผู้เชี่ยวชาญด้านความปลอดภัยหันไปเปิดเผยต่อสาธารณะหรือขายช่องโหว่ในตลาดสีเทาแทนที่จะทำงานร่วมกับบริษัทเพื่อแก้ไขปัญหา
คดีนี้ได้รับความสนใจเป็นพิเศษเนื่องจากลักษณะที่ละเอียดอ่อนของผลิตภัณฑ์ที่เกี่ยวข้อง ผู้ใช้ของเล่นสำหรับผู้ใหญ่ที่เชื่อมต่ออินเทอร์เน็ตมีความคาดหวังด้านความเป็นส่วนตัวที่สูงขึ้น ทำให้การละเมิดความปลอดภัยสร้างความเสียหายเป็นพิเศษ ความสามารถในการยึดครองบัญชีหรือเปิดเผยอีเมลส่วนตัวอาจทำให้เกิดการสะกดรอยตามหรือการคุกคาม
การตอบสนองของบริษัทถูกโต้แย้ง
Lovense รายงานว่าได้บอกกับนักข่าวว่าช่องโหว่ได้รับการแก้ไขอย่างสมบูรณ์ภายในสิ้นเดือนมิถุนายน 2023 อย่างไรก็ตาม นักวิจัยอ้างว่าได้ทดสอบบั๊กการเปิดเผยอีเมลสำเร็จในช่วงปลายเดือนกรกฎาคม 2023 ซึ่งชี้ให้เห็นว่าบริษัทอาจยังคงบิดเบือนสถานการณ์ต่อสำนักข่าวต่อไป
เหตุการณ์นี้เน้นย้ำคำถามที่กว้างขึ้นเกี่ยวกับความรับผิดชอบในพื้นที่ Internet of Things ที่อุปกรณ์ที่เชื่อมต่อมักจัดการข้อมูลส่วนตัวที่ละเอียดอ่อนแต่อาจขาดการกำกับดูแลด้านความปลอดภัยที่แข็งแกร่ง
อ้างอิง: Lovense: The Company That Lies to Security Researchers