A Lovense, fabricante de brinquedos sexuais conectados à Web, confirmou que corrigiu um par de vulnerabilidades de segurança que expuseram os endereços de e mail privados dos usuários e permitiram que os atacantes assumissem a conta de qualquer usuário remotamente.
Enquanto a empresa disse que os bugs foram “totalmente resolvidos”, seu diretor executivo agora está pensando em tomar medidas legais após a divulgação.
Em uma declaração Compartilhado com a TechCrunch, o CEO da Lovense, Dan Liu, disse que a fabricante de brinquedos sexuais estava “investigando a possibilidade de ação authorized” em resposta a relatórios supostamente errôneos sobre o bug. Quando perguntado pela TechCrunch, a empresa não respondeu para esclarecer se estava se referindo a relatórios da mídia ou à divulgação de um pesquisador de segurança.
Detalhes do bug surgiram nesta semana depois que um pesquisador de segurança, que segue o cabo Bobdahacker, revelou que eles relatou os dois bugs de segurança para a fabricante de brinquedos sexuais no início deste ano. O pesquisador publicou suas descobertas depois que Lovense alegou que levaria 14 meses para abordar completamente as vulnerabilidades, em vez de aplicar uma “correção mais rápida e de um mês” que exigiria alertar os usuários para atualizar seus aplicativos.
Lovense disse em seu comunicado, atribuído a Liu, que as correções implementadas exigirão que os usuários atualizem seus aplicativos antes que possam retomar o uso de todos os recursos do aplicativo.
Na declaração, Liu afirmou que “não há evidências sugerindo que quaisquer dados do usuário, incluindo endereços de e mail ou informações da conta, foram comprometidos ou mal utilizados”. Não está claro como Lovense chegou a essa conclusão, dado o TechCrunch (e outros pontos de venda) Verifiquei o bug de divulgação de e mail configurando uma nova conta e pedindo ao pesquisador que identifique o endereço de e mail associado.
O TechCrunch perguntou a Lovense o que significa técnico, como logs, a empresa precisa determinar se houve algum compromisso dos dados dos usuários, mas um porta -voz não respondeu.
Não é inédito que as organizações recorrem a demandas e ameaças legais para tentar bloquear a divulgação de incidentes de segurança embaraçosos, apesar de poucas regras ou restrições nos EUA que proíbem tais relatórios.
No início deste ano, um jornalista independente dos EUA rejeitou uma ameaça authorized de uma liminar do Tribunal do Reino Unido por relatar com precisão um ataque de ransomware à gigante de saúde privada do Reino Unido HCRG. Em 2023, um funcionário do condado no Condado de Hillsborough, na Flórida, ameaçou acusações criminais contra um pesquisador de segurança sob as leis de hackers de computadores do estado para identificar e divulgar explicit uma falha de segurança no sistema de registros judiciais do condado que expostos a acesso a registros sensíveis.