قيل لوفنز لتطبيق لعبة الجنس أنه تم تسريب رسائل البريد الإلكتروني للمستخدمين ولم يصلحها

يفتح Lovens ، منشئ ألعاب الجنس المتصلة بالإنترنت ، لأشهر مفتوح رسائل البريد الإلكتروني للمستخدم-حتى بعد أن أدرك هذا الضعف. في منشور مدونة بقعة قريب اِصطِلاحِيّ و كمبيوتر blyingوجد باحث الأمن Bobdhekar أنه يمكنهم “تحويل أي مستخدم إلى عنوان بريده الإلكتروني” ، والذي يمكنهم استخدامه بعد ذلك لاتخاذ حساب شخص ما.

على الرغم من أن Bobdhekar أعلن في البداية هذا ضعف Lovens في مارس ، يدعي الباحث أن Lovens انتظرت لعدة أشهر قبل إصلاحه ، وما زال لا يهتم تمامًا بهذه القضية. Lowens وراء مجموعة من الألعاب الجنسية التي يمكن للمستخدمين الاتصال بالإنترنت والتحكم عن بُعد من خلال تطبيقها ، والتي تعرضت للنيران من أجل “الأخطاء الصغيرة” في عام 2017 جلسات الجنس للمستخدمين المسجلين.

كما هو موضح في منشور ضريبة Bobdah ACK ، رأى باحث أمني شيئًا غريبًا في استجابة API للتطبيق بينما كان يسير شخصًا ما: لقد قدم عنوان بريده الإلكتروني. ثم وجد Bobdhekar أنه يمكنهم الاستفادة من هذا الضعف من خلال إرسال طلب منقح إلى خوادم Lovens ، محاصرين له لإرجاع عنوان البريد الإلكتروني للمستخدم المستهدف.

قام Bobdhekar أيضًا بتطوير برنامج نصي يقول إنه يمكن لمستخدم شخص ما تحويل الاسم إلى عنوان بريد إلكتروني في أقل من ثانية. “هذا أمر سيء بشكل خاص لنماذج CAM التي تشارك أسماء المستخدمين علانية ولكن لا ترغب في فضح رسائل البريد الإلكتروني الشخصية.” ومما زاد الطين بلة ، يجد Bobdhekar لاحقًا أنه يمكنهم أخذ حساب المستخدم من خلال عنوان بريدهم الإلكتروني ورمز المصادقة الذي أنتجته Lovens.

أبلغ Bobdhekar في البداية عن نقاط الضعف هذه بالشراكة مع الإنترنت Don Fa Fa Dongs ، وهي مجموعة تهدف إلى جعل ألعاب الجنس المرتبطة بالإنترنت أكثر أمانًا. ومع ذلك ، يقول باحث الأمن إن لوفنز لم يصلح على الفور المشكلة. وبدلاً من ذلك ، ادعى لوفنز أن خطأ الاستيلاء على الحساب تم إصلاحه في أبريل ، على الرغم من أن Bobdahkar قال إن الأمر لم يكن كذلك ، وسيستغرق الأمر 14 شهرًا لتصحيح مسألة تسرب البريد الإلكتروني.

وفقًا لـ Bobdhekar ، قمنا أيضًا بتقييم إصلاح لمدة شهر. ومع ذلك ، فإنه سيجبر جميع المستخدمين على الترقية على الفور ، مما سيؤدي إلى تعطيل الدعم لإصدارات التراث “. وفقًا لضريبة Bobdah ACK ، أبلغ باحثو الأمن عن نفس خطأ الاستيلاء على الحساب إلى Lovens في عام 2023 ، ولكن يبدو أن الشركة قد أوقفت الخطأ دون تصحيحه.

في بيان كمبيوتر blyingيقول لوفنز إنه قدم تحديثًا للطلب “معالجة أحدث نقاط الضعف” على متاجر التطبيقات. يقول لوفنز: “من المتوقع أن يجبر التحديث الكامل لجميع المستخدمين الأسبوع المقبل”. “بمجرد قيام جميع المستخدمين بتحديث الإصدار الجديد ونقوم بتعطيل الإصدارات القديمة ، سيتم حل هذه المشكلة بالكامل.” لم يرد لوفنز على الفور حافةطلب التعليق.