Lovense: The Company That Lies to Security Researchers
10 months ago
- #privacy
- #vulnerability
- #security
- Lovense应用存在两大关键漏洞:邮箱泄露和账户接管。
- 邮箱泄露漏洞允许通过API和XMPP操作将任意用户名转换为邮箱地址。
- 账户接管漏洞仅需邮箱即可生成认证令牌,无需密码。
- Lovense最初淡化漏洞严重性,耗时数月才实施部分修复。
- 研究人员发现同样的账户接管漏洞在2023年就被报告并声称已修复,实则未修复。
- Lovense在修复情况和漏洞描述方面对研究人员和媒体存在欺骗行为。
- 该公司将旧版应用支持置于用户隐私与安全之上。
- 漏洞被报告后数月仍存在,持续暴露用户邮箱和账户信息。