كشفت شركة تصنع جهازًا للعفة للأشخاص الذين لديهم قضيب يمكن التحكم فيه بواسطة شريك عبر الإنترنت، عن عناوين البريد الإلكتروني للمستخدمين وكلمات مرور النص العادي وعناوين المنازل وعناوين IP، وفي بعض الحالات – إحداثيات نظام تحديد المواقع العالمي (GPS)، وذلك بسبب عدة عيوب. في خوادمها، بحسب باحث أمني.
وقال الباحث، الذي طلب عدم الكشف عن هويته لأنه أراد فصل حياته المهنية عن العمل المتعلق بالشبكة الذي يقوم به، إنه تمكن من الوصول إلى قاعدة بيانات تحتوي على سجلات لأكثر من 10000 مستخدم، وذلك بفضل اثنتين من نقاط الضعف. وقال الباحث إنه استغل الأخطاء لمعرفة البيانات التي يمكنه الوصول إليها. لقد تواصل أيضًا مع الشركة في 17 يونيو لتنبيههم بالمشكلات في محاولة لحملهم على إصلاح نقاط الضعف وحماية بيانات مستخدميهم، وفقًا للقطة شاشة من البريد الإلكتروني الذي أرسله وشاركه مع TechCrunch.
اعتبارًا من تاريخ النشر، لم تقم الشركة بعد بإصلاح الثغرات الأمنية، ولم تستجب للطلبات المتكررة للتعليق من TechCrunch.
“كل شيء من السهل جدًا استغلاله. وقال الباحث لموقع TechCrunch: “وهذا أمر غير مسؤول”. “لذا فإن أفضل أملي هو أن يتصلوا بك أو بي ويصلحوا كل شيء.”
ونظرًا لعدم إصلاح الثغرات الأمنية، لم تحدد TechCrunch الشركة من أجل حماية مستخدميها، الذين لا تزال بياناتهم معرضة للخطر. اتصلت TechCrunch أيضًا بمضيف الويب الخاص بالشركة، والذي قال إنه سينبه الشركة المصنعة للجهاز، بالإضافة إلى فريق الاستجابة لطوارئ الكمبيوتر الصيني، أو CERT، في محاولة لتنبيه الشركة أيضًا.
ونظرًا لأنه لم يحصل على أي إجابات، قام الباحث في 23 أغسطس بتشويه الصفحة الرئيسية للشركة في محاولة لتحذير الشركة مرة أخرى، وكذلك مستخدميها.
“تم تعطيل الموقع من قبل طرف ثالث خيري. [REDACTED] لقد ترك الموقع مفتوحًا على مصراعيه، مما يسمح لأي طفل نصي بالحصول على أي وجميع معلومات العميل. وهذا يشمل كلمات المرور النصية العادية وعلى عكس ما [REDACTED] وقد ادعى، وأيضا عناوين الشحن. على الرحب والسعة!” كتب الباحث. “إذا كنت قد دفعت ثمن الوحدة المادية ولا يمكنك استخدامها الآن، فأنا آسف. ولكن هناك الآلاف من الأشخاص الذين لديهم حسابات هنا ولا أستطيع بحسن نية أن أترك كل شيء في متناول اليد”.
وبعد أقل من 24 ساعة، قامت الشركة بإزالة تحذير الباحث واستعادة الموقع. لكن الشركة لم تقم بإصلاح العيوب التي تظل موجودة وقابلة للاستغلال.
بالإضافة إلى العيوب التي سمحت له بالوصول إلى قاعدة بيانات المستخدمين، وجد الباحث أن موقع الشركة على الويب يعرض أيضًا سجلات مدفوعات PayPal الخاصة بالمستخدمين. تعرض السجلات عناوين البريد الإلكتروني للمستخدمين التي يستخدمونها في PayPal، واليوم الذي قاموا فيه بالدفع.
تبيع الشركة قفص العفة للأشخاص الذين لديهم قضيب يمكن ربطه بتطبيق Android (لا يوجد تطبيق iPhone). باستخدام التطبيق، يمكن للشريك – الذي يمكن أن يكون في أي مكان في العالم – متابعة تحركات شركائه، نظرًا لأن الجهاز ينقل إحداثيات GPS دقيقة تصل إلى بضعة أمتار.
وهذه ليست المرة الأولى التي يستغل فيها المتسللون نقاط الضعف في الألعاب الجنسية للرجال، ولا سيما أقفاص العفة. في عام 2021، سيطر أحد المتسللين على أجهزة الأشخاص وطالب بفدية.
قال المتسلل لأحد الضحايا: “قضيبك أصبح ملكي الآن”، وفقًا للباحث الذي اكتشف حملة القرصنة في ذلك الوقت.
في العام السابق، باحثون أمنيون وقد حذرت الشركة من العيوب الخطيرة في منتجها والتي يمكن استغلالها من قبل المتسللين الخبيثين.
على مر السنين، بخلاف خروقات البيانات الفعلية، اكتشف الباحثون الأمنيون العديد من المشكلات الأمنية ألعاب جنسية متصلة بالإنترنت. في عام 2016، اكتشف الباحثون خطأً في “اللباس الداخلي” الذي يعمل بتقنية البلوتوث، والذي سمح لأي شخص بذلك السيطرة على لعبة الجنس عن بعد عبر الإنترنت. وفي عام 2017، وافق صانع ألعاب جنسية ذكي على ذلك تسوية دعوى قضائية رفعت امرأتان زعمتا أن الشركة تجسست عليهما من خلال جمع وتسجيل “بيانات حميمة وحساسة للغاية” لمستخدميها.
هل تعرف أي اختراقات أو خروقات بيانات مماثلة؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase وWire @lorenzofb، أو عبر البريد الإلكتروني lorenzo@techcrunch.com. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.