Une entreprise qui fabrique un dispositif de chasteté pour les personnes ayant un pénis pouvant être contrôlé par un partenaire sur Internet a exposé les adresses e-mail, les mots de passe en clair, les adresses personnelles et les adresses IP des utilisateurs et, dans certains cas, les coordonnées GPS, en raison de plusieurs failles. dans ses serveurs, selon un chercheur en sécurité.
Le chercheur, qui a demandé à rester anonyme parce qu’il souhaitait séparer sa vie professionnelle de son travail lié aux perversités, a déclaré avoir accédé à une base de données contenant les enregistrements de plus de 10 000 utilisateurs, grâce à deux vulnérabilités. Le chercheur a déclaré avoir exploité les bugs pour voir à quelles données il pouvait accéder. Il a également contacté l’entreprise le 17 juin pour l’alerter des problèmes afin de l’amener à corriger les vulnérabilités et à protéger les données de ses utilisateurs, selon une capture d’écran de l’e-mail qu’il a envoyé et partagé avec TechCrunch.
Au moment de la publication, la société n’avait pas encore corrigé les vulnérabilités et n’avait pas répondu aux demandes répétées de commentaires de TechCrunch.
« Tout est trop facile à exploiter. Et c’est irresponsable », a déclaré le chercheur à TechCrunch. « Donc, mon meilleur espoir est qu’ils vous contactent ou qu’ils me contactent et qu’ils règlent tout. »
Les vulnérabilités n’étant pas corrigées, TechCrunch n’identifie pas l’entreprise afin de protéger ses utilisateurs, dont les données sont toujours en danger. TechCrunch a également contacté l’hébergeur Web de l’entreprise, qui a déclaré qu’il alerterait le fabricant de l’appareil, ainsi que l’équipe chinoise d’intervention en cas d’urgence informatique, ou CERT, dans le but d’alerter également l’entreprise.
N’obtenant aucune réponse, le chercheur a dégradé le 23 août la page d’accueil de l’entreprise pour tenter d’avertir à nouveau l’entreprise ainsi que ses utilisateurs.
« Le site a été désactivé par un tiers bienveillant. [REDACTED] a laissé le site grand ouvert, permettant à n’importe quel script kiddie de récupérer toutes les informations client. Cela inclut les mots de passe en clair et contrairement à ce que [REDACTED] a revendiqué, également les adresses de livraison. Vous êtes les bienvenus! » a écrit le chercheur. « Si vous avez payé pour une unité physique et que vous ne pouvez plus l’utiliser, je suis désolé. Mais il y a des milliers de personnes qui ont des comptes ici et je ne pouvais pas, en toute bonne foi, tout laisser à gagner.
Moins de 24 heures plus tard, l’entreprise a supprimé l’avertissement du chercheur et restauré le site Web. Mais l’entreprise n’a pas corrigé les failles, qui restent présentes et exploitables.
En plus des failles qui lui ont permis d’accéder à la base de données des utilisateurs, le chercheur a découvert que le site Web de l’entreprise expose également les journaux de paiements PayPal des utilisateurs. Les journaux montrent les adresses e-mail des utilisateurs qu’ils utilisent sur PayPal et le jour où ils ont effectué le paiement.
L’entreprise vend une cage de chasteté pour les personnes possédant un pénis qui peut être reliée à une application Android (il n’existe pas d’application iPhone). Grâce à l’application, un partenaire – qui peut se trouver n’importe où dans le monde – peut suivre les mouvements de son partenaire, étant donné que l’appareil transmet des coordonnées GPS précises jusqu’à quelques mètres.
Ce n’est pas la première fois que des pirates exploitent les vulnérabilités des jouets sexuels pour hommes, notamment les cages de chasteté. En 2021, un pirate informatique a pris le contrôle des appareils des gens et a exigé une rançon.
« Ta bite est à moi maintenant », a déclaré le hacker à l’une des victimes, selon un chercheur qui a découvert la campagne de piratage à l’époque.
L’année précédente, des chercheurs en sécurité avaient averti l’entreprise de graves failles dans son produit qui pourraient être exploitées par des pirates malveillants.
Au fil des années, outre les violations réelles de données, les chercheurs en sécurité ont découvert plusieurs problèmes de sécurité dans les jouets sexuels connectés à Internet. En 2016, des chercheurs ont découvert un bug dans un « Panty Buster » alimenté par Bluetooth, qui permettait à quiconque de contrôler le jouet sexuel à distance via Internet. En 2017, un fabricant de jouets sexuels intelligents a accepté de régler un procès intenté par deux femmes qui alléguaient que l’entreprise les avait espionnées en collectant et en enregistrant « des données hautement intimes et sensibles » de ses utilisateurs.
Connaissez-vous des piratages ou des violations de données similaires ? À partir d’un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.