Компанія Lovense, яка спеціалізується на виробництві інтернет-підключених сексуальних іграшок, підтвердила, що усунула два випадки вразливості безпеки, які ставили під загрозу особисті електронні адреси користувачів та дозволяли зловмисникам віддалено отримувати доступ до будь-якого облікового запису.
Хоча компанія заявила, що вразливості були «повністю усунуті», її генеральний директор розглядає можливість вжиття юридичних заходів у відповідь на цю ситуацію.
У заявах, які Lovense надіслала, гендиректор Дань Лю зазначив, що компанія «досліджує можливість юридичної дії» у відповідь на неправдиву інформацію про вразливість. Коли його запитали про це, Lovense не надала уточнень щодо того, чи були це звіти медіа або повідомлення від дослідника безпеки.
Деталі про вразливість з’явилися на цьому тижні після того, як дослідник безпеки, який використовує псевдонім BobDaHacker, розкрив навіть, що повідомив про два випадки вразливості безпеки компанії на початку цього року. Дослідник опублікував свої висновки після того, як Lovense стверджувала, що їй знадобиться 14 місяців для повного усунення вразливостей, замість того, щоб застосувати «швидше, одногодинне виправлення», яке вимагало б від користувачів оновити свої додатки.
Lovense в своїй заяві, яку підписав Лю, зазначила, що для усунених вразливостей користувачі повинні оновити свої додатки, перш ніж зможуть знову скористатися всіма функціями програми.
У заяві Лю стверджував, що «немає жодних доказів того, що якісь дані користувачів, включаючи електронні адреси або інформацію про облікові записи, були скомпрометовані або зловжиті». Але не зрозуміло, як Lovense дійшла до такого висновку, враховуючи, що TechCrunch та інші видання підтвердили вразливість з розкриттям електронної адреси, створивши новий обліковий запис і попросивши дослідника визначити пов’язану електронну адресу.
TechCrunch звернувся до Lovense з питанням, які технічні засоби, такі як логи, компанія використовує для визначення можливого компрометації даних користувачів, але представник не відповів.
Не є рідкістю, що організації вдаються до юридичних заходів або погроз, щоб завадити розкриттю неприємних інцидентів безпеки, хоча в США практично немає правил чи обмежень, що забороняють таку звітність.
Цього року незалежний журналіст у США відмовився від юридичної погрози від британського суду за точну інформацію про атаку програм-вимагача на британську приватну медичну компанію HCRG. У 2023 році посадова особа округу Гілсборо, штат Флорида, погрожувала кримінальними звинуваченнями досліднику безпеки через виявлення та приватне розкриття вразливості в системі судових записів округу, яка вразила доступ до чутливих файлів.
