Шпионаж и захват секс-игрушек
Удаленное управление секс-игрушками уже давно вошло в моду, и рассказ о взломе подобных устройств – отличный способ хайпануть на конференциях по безопасности. Случается подобное регулярно, иногда игрушки ломают исследователи, уязвимости добросовестно исправляют, и все остаются довольны.
Например, в 2019 так случилось со взломом удаленно управляемых анальных пробок. В нем исследователи показали возможность удаленного управления устройством, шпионажа через него и даже потенциального нанесения вреда владельцу. Этот шикарный доклад можете посмотреть тут.
Но скоро исправление уязвимостей и зрелищный доклад - это идеальный сценарий. Происходит так далеко не всегда. В начале сентября, один анонимный исследователь безопасности IoT устройств, рассказал изданию Techcrunch, об обнаружении двух элементарных, но очень критичных уязвимостей в устройствах «удаленный пояс верности».
Устройства работали через приложение на Android и разглашали кому угодно следующие данные:
- Адрес электронной почты пользователя
- Пароли, в открытом виде
- Домашний адрес пользователя
- IP-адреса пользователя
А в некоторых случаях и онлайн GPS координаты!
Всегда пользователей устройства насчиталось около 10 000.
Исследователь попытался связаться с компанией всеми возможными способами, но ответа не получил, уязвимости оставались неисправленными. Через месяц он решил привлечь внимание компании, совершив взлом и дефейс их основного сайта, благо с его безопасностью дела обстояли еще хуже. В ходе дефейса, исследователь обнаружил, что данные покупок через сайт при использовании PayPal, также доступны всему интернету.
На сайте компании исследователь поместил предупреждение пользователям, о том, что их данные под угрозой. Через 24 часа компания удалила предупреждение и восстановила работу сайта, исправила ли она уязвимости? Конечно нет.
Это далеко не первый случай негативного сценария. В 2021 году неизвестный злоумышленник требовал $750 выкупа в биткойнах, за разблокировку аналогичного устройства другого производителя. К счастью, устройство оказалось заблокировано «впустую», но злоумышленник об этом не знал и написал жертве со словами «Your cock is mine now». Взлом устройства также был возможен исключительно по вине производителя.
В общем, относитесь ответственно к безопасности не только вашего бизнеса, но и ваших устройств. Какими бы они, кхм, ни были)
Удаленное управление секс-игрушками уже давно вошло в моду, и рассказ о взломе подобных устройств – отличный способ хайпануть на конференциях по безопасности. Случается подобное регулярно, иногда игрушки ломают исследователи, уязвимости добросовестно исправляют, и все остаются довольны.
Например, в 2019 так случилось со взломом удаленно управляемых анальных пробок. В нем исследователи показали возможность удаленного управления устройством, шпионажа через него и даже потенциального нанесения вреда владельцу. Этот шикарный доклад можете посмотреть тут.
Но скоро исправление уязвимостей и зрелищный доклад - это идеальный сценарий. Происходит так далеко не всегда. В начале сентября, один анонимный исследователь безопасности IoT устройств, рассказал изданию Techcrunch, об обнаружении двух элементарных, но очень критичных уязвимостей в устройствах «удаленный пояс верности».
Устройства работали через приложение на Android и разглашали кому угодно следующие данные:
- Адрес электронной почты пользователя
- Пароли, в открытом виде
- Домашний адрес пользователя
- IP-адреса пользователя
А в некоторых случаях и онлайн GPS координаты!
Всегда пользователей устройства насчиталось около 10 000.
Исследователь попытался связаться с компанией всеми возможными способами, но ответа не получил, уязвимости оставались неисправленными. Через месяц он решил привлечь внимание компании, совершив взлом и дефейс их основного сайта, благо с его безопасностью дела обстояли еще хуже. В ходе дефейса, исследователь обнаружил, что данные покупок через сайт при использовании PayPal, также доступны всему интернету.
На сайте компании исследователь поместил предупреждение пользователям, о том, что их данные под угрозой. Через 24 часа компания удалила предупреждение и восстановила работу сайта, исправила ли она уязвимости? Конечно нет.
Это далеко не первый случай негативного сценария. В 2021 году неизвестный злоумышленник требовал $750 выкупа в биткойнах, за разблокировку аналогичного устройства другого производителя. К счастью, устройство оказалось заблокировано «впустую», но злоумышленник об этом не знал и написал жертве со словами «Your cock is mine now». Взлом устройства также был возможен исключительно по вине производителя.
В общем, относитесь ответственно к безопасности не только вашего бизнеса, но и ваших устройств. Какими бы они, кхм, ни были)