Lovense Güvenlik Açığı: Hesap Ele Geçirme Riski!

#Lovense
#Lovense’de bir güvenlik açığı, şifre olmadan hesapların ele geçirilmesine izin verebilir.
Lovense adlı seks oyuncakları üreticisi, bir güvenlik araştırmacısına göre uygulama kullanıcılarının e-posta adreslerini sızdırıyor ve şifre istenmeden hesap ele geçirmelerine olanak tanıyor. TechCrunch’ın haberine göre, etik hacker olarak tanımlayan BobDaHacker, 2023’te fark ettiği ciddi bir hatayı hala düzeltmeyen Lovense’yi suçladı. Hacker, doğru bilgi birikimiyle herhangi bir kullanıcı adının e-posta adresine dönüştürülebileceğini ve bu açığı ilk olarak uygulamada birini susturmanın ardından keşfettiğini belirtti. Lovense’nin API erişimi sayesinde, modifiye edilmiş sorgu işlemini otomatik bir script üzerinden çalıştırarak, kamuya açık herhangi bir kullanıcı adıyla ilişkili e-posta adreslerini bir saniyeden kısa sürede elde edebildi. Bu durumun, iş için Lovense platformunu kullanan ve kullanıcı adlarını bu amaçla paylaşan “cam modelleri” için özellikle riskli olduğu belirtildi. Araştırmacı ayrıca, bir kullanıcının e-posta adresi (önceden bilinen veya yukarıda bahsedilen sızıntı hatasıyla elde edilen) sayesinde, şifre olmadan hesap ele geçirmesine olanak tanıyan kimlik doğrulama tokenleri oluşturulabileceğini keşfetti. Bu durumun Lovense Chrome Uzantısı, Lovense Connect uygulaması, şirketin Cam101 ve StreamMaster yazılımları ve hatta yönetici hesapları için geçerli olduğu iddia ediliyor. BobDaHacker, bu hataları Mart 2025’te The Internet Of Dongs adlı seks teknoloji güvenlik hackleme projesiyle işbirliği içinde Lovense’ye bildirdi ve HackerOne güvenlik platformu üzerinden toplamda 3.000 dolar aldı. Lovense yetkilileri, haziranın başlarında hesap ele geçirme hatasının geçen ay düzeltildiğini belirtti ancak araştırmacı bunun doğru olmadığını iddia ediyor. E-posta sızıntısı hatası için ise Lovense, bu sorunun düzeltilmesinin 14 ay sürebileceğini ve daha hızlı bir düzeltmenin “tüm kullanıcıların derhal yükseltilmesini gerektireceğini” ve bunun da “eski sürümler için desteği kesintiye uğratacağını” söyledi. Araştırmacı, Twitter kullanıcısından 2023’ten beri aynı hesap ele geçirme hatasını bulduğunu ve Lovense’ye bildirdikten kısa bir süre sonra hatanın giderildiğini öğrendiğini ancak bunun doğru olmadığını ifade etti. Hatanın sonunda bir HTTP uç noktası aracılığıyla kullanıcı adını e-posta adresine dönüştüren bir düzeltme yapıldığını ancak bunun 2025’in başlarında yayınlanmadığını belirtti. BobDaHacker, Lovense’den yorum talep etti ancak yazım anında yanıt alamadı. Geçmişte de Lovense kullanıcıları benzer güvenlik sorunlarıyla karşılaştı. 2017’de bir Reddit kullanıcısı, kullanıcıların rızası olmadan ses kaydı aldığını ve bunları telefonlarında sakladığını iddia etmişti. Reddit’teki bir yorumcu, Lovense’yi temsil ettiğini iddia ederek kayıtları “küçük bir yazılım hatası” olarak nitelendirmiş ve bunun Android uygulamasından etkilendiğini, ancak güncelleme ile düzeltildiğini belirtmişti.

Haber size gelsin. Teknoloji alanında son gelişmeler …
Profesyonel yorumlar ve güncel haberleri almak için incelemek için;
ücretsiz telegram grubumuza katılınız :DuoTeknoloji (telegram grubu)