Компания Lovense, выпускающая интернет-подключённые секс-игрушки, исправила две уязвимости в безопасности, которые позволяли злоумышленникам получить доступ к личным email-адресам пользователей и удалённо захватывать их аккаунты.
Хотя компания заявила, что ошибки полностью устранены, её генеральный директор рассматривает возможность судебных разбирательств в ответ на публикации об этом инциденте.
Ранее исследователь безопасности с псевдонимом BobDaHacker сообщил, что ещё в начале года уведомил Lovense о двух уязвимостях. Он опубликовал свои выводы после того, как компания заявила, что для полного решения проблемы потребуется 14 месяцев, а не более быстрый однмесячный фикс, который потребовал бы уведомления пользователей и обновления приложений.
Исправления теперь требуют от пользователей обновить приложение перед использованием всех его функций.
Генеральный директор компании утверждает, что нет никаких доказательств компрометации или злоупотребления пользовательскими данными, включая адреса электронной почты и аккаунты. Однако проверка уязвимости показала возможность получения email-адреса при создании нового аккаунта.
Компания не предоставила информацию о технических методах, с помощью которых она проверяет наличие компрометации данных.
Стоит отметить, что попытки организаций блокировать публикацию информации о проблемах безопасности с помощью угроз судебных исков не редкость, несмотря на отсутствие существенных юридических преград для таких публикаций в США.
