Ein Unternehmen, das einen Keuschheitsgürtel für Menschen mit einem Penis herstellt, der von einem Partner über das Internet gesteuert werden kann, hat aufgrund mehrerer Mängel die E-Mail-Adressen, Klartext-Passwörter, Privatadressen und IP-Adressen der Benutzer sowie – in einigen Fällen – GPS-Koordinaten offengelegt laut einem Sicherheitsforscher in seinen Servern.
Der Forscher, der darum bat, anonym zu bleiben, weil er sein Berufsleben von seiner Kink-bezogenen Arbeit trennen wollte, sagte, er habe dank zweier Schwachstellen Zugriff auf eine Datenbank mit Datensätzen von mehr als 10.000 Benutzern erhalten. Der Forscher sagte, er habe die Fehler ausgenutzt, um herauszufinden, auf welche Daten er Zugriff erhalten könne. Er wandte sich am 17. Juni auch an das Unternehmen und machte es auf die Probleme aufmerksam, um es dazu zu bringen, die Schwachstellen zu beheben und die Daten seiner Benutzer zu schützen, wie aus einem Screenshot der E-Mail hervorgeht, die er gesendet und an Tech weitergegeben hat.
Zum Zeitpunkt der Veröffentlichung hat das Unternehmen die Schwachstellen noch nicht behoben und auf wiederholte Anfragen von Tech nach Kommentaren nicht reagiert.
„Alles ist einfach zu leicht auszunutzen. Und das ist unverantwortlich“, sagte der Forscher gegenüber Tech. „Meine größte Hoffnung ist also, dass sie sich entweder mit Ihnen oder mir in Verbindung setzen und alles in Ordnung bringen.“
Da die Schwachstellen nicht behoben sind, identifiziert Tech das Unternehmen nicht, um seine Benutzer zu schützen, deren Daten weiterhin gefährdet sind. Tech kontaktierte auch den Webhost des Unternehmens und teilte mit, dass es den Gerätehersteller sowie das chinesische Computer Emergency Response Team (CERT) alarmieren werde, um auch das Unternehmen zu alarmieren.
Da er keine Antworten erhielt, verunstaltete der Forscher am 23. August die Homepage des Unternehmens, um das Unternehmen und seine Benutzer erneut zu warnen.
„Die Website wurde von einem wohlwollenden Dritten deaktiviert. [REDACTED] hat die Website weit offen gelassen, so dass jeder Script-Kiddie auf sämtliche Kundeninformationen zugreifen kann. Dazu gehören Klartext-Passwörter und alles andere [REDACTED] hat behauptet, auch Lieferadressen. Gern geschehen!“ schrieb der Forscher. „Wenn Sie für eine physische Einheit bezahlt haben und diese jetzt nicht nutzen können, tut es mir leid. Aber es gibt Tausende von Leuten mit Konten hier und ich könnte nicht in gutem Glauben alles offen lassen.“
Weniger als 24 Stunden später entfernte das Unternehmen die Warnung des Forschers und stellte die Website wieder her. Das Unternehmen hat die Mängel jedoch nicht behoben, sie sind weiterhin vorhanden und ausnutzbar.
Zusätzlich zu den Schwachstellen, die es ihm ermöglichten, Zugriff auf die Datenbank der Benutzer zu erhalten, stellte der Forscher fest, dass auf der Website des Unternehmens auch Protokolle der PayPal-Zahlungen der Benutzer offengelegt wurden. Die Protokolle zeigen die E-Mail-Adressen der Benutzer, die sie bei PayPal verwenden, sowie den Tag, an dem sie die Zahlung getätigt haben.
Das Unternehmen verkauft einen Keuschheitskäfig für Menschen mit Penis, der mit einer Android-App verknüpft werden kann (eine iPhone-App gibt es nicht). Mithilfe der App kann ein Partner, der sich überall auf der Welt befinden kann, die Bewegungen seines Partners verfolgen, da das Gerät präzise GPS-Koordinaten mit einer Genauigkeit von wenigen Metern übermittelt.
Dies ist nicht das erste Mal, dass Hacker Sicherheitslücken in Sexspielzeugen für Männer, insbesondere Keuschheitskäfigen, ausnutzen. Im Jahr 2021, Ein Hacker übernahm die Kontrolle über die Geräte der Menschen und forderte ein Lösegeld.
„Dein Schwanz gehört jetzt mir“, sagte der Hacker zu einem der Opfer, so ein Forscher, der damals die Hacking-Kampagne entdeckte.
Im Jahr zuvor hatten Sicherheitsforscher das Unternehmen vor gravierenden Mängeln in seinem Produkt gewarnt, die von böswilligen Hackern ausgenutzt werden könnten.
Im Laufe der Jahre haben Sicherheitsforscher neben tatsächlichen Datenschutzverletzungen auch mehrere Sicherheitsprobleme festgestellt Mit dem Internet verbundene Sexspielzeuge. Im Jahr 2016 fanden Forscher einen Fehler in einem Bluetooth-betriebenen „Panty Buster“, der es jedem ermöglichte Kontrolliere das Sexspielzeug aus der Ferne über das Internet. Im Jahr 2017 stimmte ein intelligenter Sexspielzeughersteller zu eine Klage beilegen eingereicht von zwei Frauen, die behaupteten, das Unternehmen habe sie ausspioniert, indem es „sehr intime und sensible Daten“ seiner Benutzer gesammelt und aufgezeichnet habe.
Sind Ihnen ähnliche Hacks oder Datenschutzverletzungen bekannt? Von einem nicht am Arbeitsplatz befindlichen Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.