洛文斯(Lovensse)是性愛遊戲的製造商,左翼電子郵件暴露了幾個月,即使意識到脆弱性。在 博客文章 斑 和 技術 和 下沉的計算機Bobdahacker安全研究人員發現,他們可以“將任何用戶名轉換為他們的電子郵件地址”,然後可以用來接管某人的帳戶。
儘管鮑勃達克(Bobdahacker)最初在三月份透露了對洛文斯(Lovensse)的這種脆弱性,但研究人員聲稱,洛文斯(Lovensse)等待了幾個月,然後才糾正它,並且尚未完全解決該問題。 Lovensse是一系列性遊戲的背後,用戶可以連接到Internet,並通過其應用程序遠程控制它,該應用程序在2017年因“次要錯誤”而著火,該應用程序記錄了用戶的性交。
如Bobdahacker的位置所述,安全研究人員在應用程序掃過某人時注意到了該應用程序的API響應中的某些奇怪的東西:提交了他們的電子郵件地址。 Bobdahacker然後意識到,通過向Lovensse服務器發送修改的請求,將其欺騙到目標用戶的電子郵件地址返回,他們可以從此漏洞中受益。
Bobdahacker甚至開發了一個方案,說它可以在不到一秒鐘內將自己的用戶名轉換為E -Mail地址。 Bobdahacker寫道:“這對於公開共享用戶名稱的CAM模型尤其不利,但顯然他們不希望自己的個人電子郵件暴露。”更糟糕的是,Bobdahacker隨後發現,他們可以通過其電子郵件地址和Lovensse產生的身份驗證區別接管用戶的帳戶。
Bobdahacker最初與Dongs Internet合作提到了這些漏洞,該團隊旨在使互聯網連接的團隊更加安全。但是,安全研究人員說,洛文斯(Lovensse)並未立即確定問題。相反,洛文斯(Lovensse)聲稱該帳戶贖回錯誤是在4月確定的,儘管鮑勃達克(Bobdahacker)表示,這不是解決電子郵件洩漏問題的解決方案,需要14個月的時間才能發布。
洛文斯說:“我們還評估了一個月的更快,但是,這將要求所有用戶立即升級,這會干擾對繼承版本的支持。”正如Bobdahacker所指出的那樣,安全研究人員在2023年報告了Lovensse的相同帳戶贖回錯誤,但該公司似乎在沒有糾正錯誤的情況下關閉了錯誤。
向 下沉的計算機Lovensse表示,已向應用程序提交了“最新漏洞”應用程序的申請更新。 Lovensse說:“預計下週將向所有用戶推薦全部更新。” “一旦所有用戶都被告知新版本,我們將關閉舊版本。此問題將完全解決。” Lovensse沒有立即回應 腿請求評論。
