Nhà sản xuất đồ chơi tình dục Lovense bị phát hiện rò rỉ địa chỉ email người dùng và để lộ tài khoản cho các cuộc chiếm đoạt

Nhà nghiên cứu bảo mật BobDaHacker đã tiết lộ rằng nhà sản xuất đồ chơi tình dục Lovense vẫn chưa hoàn toàn khắc phục hai lỗ hổng bảo mật nghiêm trọng, khiến địa chỉ email riêng tư của người dùng bị lộ và cho phép chiếm đoạt tài khoản. Lovense, với hơn 20 triệu người dùng và nổi tiếng với việc tích hợp ChatGPT vào sản phẩm của mình, đã bị phát hiện rò rỉ địa chỉ email người dùng thông qua lưu lượng mạng của ứng dụng. Bằng cách chặn và chỉnh sửa các yêu cầu mạng, kẻ tấn công có thể liên kết bất kỳ tên người dùng Lovense nào với địa chỉ email đã đăng ký, gây ra rủi ro lớn về quyền riêng tư—đặc biệt đối với các người mẫu cam thường công khai tên người dùng nhưng muốn giữ bí mật email của mình. TechCrunch đã xác minh lỗ hổng này, và BobDaHacker đã chứng minh rằng việc tự động hóa quá trình này có thể tiết lộ email trong chưa đầy một giây. Lỗ hổng thứ hai còn nghiêm trọng hơn, cho phép kẻ tấn công chiếm đoạt bất kỳ tài khoản Lovense nào chỉ bằng địa chỉ email bị lộ. Lỗ hổng này cho phép tạo mã xác thực mà không cần mật khẩu, từ đó kiểm soát hoàn toàn tài khoản từ xa. Vì nhiều người dùng dựa vào thiết bị Lovense cho công việc, chẳng hạn như các người mẫu cam, lỗ hổng này đại diện cho một nguy cơ lớn...