Một báo cáo bảo mật nghiêm trọng vừa được công bố, tiết lộ cách nhà sản xuất đồ chơi người lớn Lovense bị cáo buộc đã đánh lừa các nhà nghiên cứu bảo mật về việc khắc phục các lỗ hổng nghiêm trọng trong gần hai năm. Công ty bị buộc tội tuyên bố các lỗi đã được giải quyết trong khi chúng vẫn còn hoạt động, hạ thấp mức độ nghiêm trọng để giảm tiền thưởng, và đối xử không nhất quán với các nhà nghiên cứu trong chương trình săn lỗi của họ.
Các lỗ hổng nghiêm trọng vẫn chưa được khắc phục dù đã tuyên bố
Các vấn đề bảo mật tập trung xung quanh hai vấn đề chính: lỗ hổng tiết lộ email và chiếm quyền tài khoản. Lỗi tiết lộ email cho phép bất kỳ ai chuyển đổi tên người dùng thành địa chỉ email thông qua thao tác API, mất khoảng 30 giây thực hiện thủ công hoặc ít hơn một giây với các script tự động. Điều này gây ra rủi ro đặc biệt cho các cam model chia sẻ tên người dùng công khai nhưng muốn giữ email cá nhân riêng tư.
Thậm chí nghiêm trọng hơn là lỗ hổng chiếm quyền tài khoản. Kẻ tấn công có thể tạo token xác thực chỉ bằng địa chỉ email, bỏ qua hoàn toàn yêu cầu mật khẩu. Những token này hoạt động trên nhiều nền tảng Lovense bao gồm Extension, Connect, StreamMaster, và thậm chí cả tài khoản quản trị viên.
Các nền tảng bị ảnh hưởng:
- Lovense Extension
- Lovense Connect
- StreamMaster
- Cam4.ly
- Tài khoản quản trị
- Hệ thống nhắn tin XMPP
Mô hình thực hành lừa dối xuất hiện
Cộng đồng công nghệ đã bày tỏ sự phẫn nộ về những gì có vẻ là một mô hình lừa dối có hệ thống. Bằng chứng cho thấy cùng một lỗi chiếm quyền tài khoản đã được báo cáo lần đầu vào tháng 9 năm 2021, với Lovense tuyên bố đã khắc phục trong vòng hai tuần. Tuy nhiên, lỗ hổng vẫn còn hoạt động và được phát hiện lại một cách độc lập vào năm 2023.
Kiểu hành vi này thực sự nên khiến các lãnh đạo công ty bị truy tố hình sự, đây là sự cẩu thả có chủ ý.
Dòng thời gian tiết lộ những mâu thuẫn đáng lo ngại. Sau khi ban đầu đánh giá báo cáo năm 2021 ở mức độ nghiêm trọng cao, Lovense đã hạ xuống mức trung bình ngay trước khi thanh toán, giảm phần thưởng từ có thể hàng nghìn đô la xuống 350 đô la Mỹ. Họ biện minh điều này bằng cách tuyên bố các ứng dụng bị ảnh hưởng đã lỗi thời với ít người dùng, mặc dù lỗ hổng ảnh hưởng đến các hệ thống hiện tại.
Dòng thời gian các vấn đề bảo mật:
- 4 tháng 9, 2021: Lỗi chiếm quyền tài khoản đầu tiên được báo cáo trên HackerOne (mức độ nghiêm trọng cao)
- 18 tháng 9, 2021: Lovense hạ xuống mức độ nghiêm trọng trung bình, trả 350 USD, tuyên bố "đã sửa"
- 2023: Cùng lỗ hổng được phát hiện lại một cách độc lập bởi nhà nghiên cứu khác
- 28 tháng 7, 2023: Lỗ hổng tiết lộ email vẫn hoạt động bất chấp tuyên bố của công ty
 |
|---|
| Bài đăng blog này trình bày chi tiết các vấn đề đang diễn ra với cách xử lý của Lovense đối với các lỗ hổng bảo mật nghiêm trọng, làm nổi bật mối quan ngại của các nhà nghiên cứu |
Tác động ngành và mối quan ngại về lòng tin
Các chuyên gia bảo mật lo ngại hành vi này làm suy yếu toàn bộ hệ sinh thái tiết lộ có trách nhiệm. Khi các công ty nói dối về việc khắc phục và thao túng mức độ nghiêm trọng, điều này làm nản lòng các nhà nghiên cứu báo cáo lỗ hổng một cách riêng tư. Điều này có thể đẩy các chuyên gia bảo mật hướng tới tiết lộ công khai hoặc bán các exploit trên thị trường xám thay vì làm việc với các công ty để khắc phục vấn đề.
Vụ việc đã thu hút sự chú ý đặc biệt vì tính chất nhạy cảm của các sản phẩm liên quan. Người dùng đồ chơi người lớn kết nối internet có kỳ vọng quyền riêng tư cao hơn, khiến các vi phạm bảo mật đặc biệt có hại. Khả năng chiếm quyền tài khoản hoặc tiết lộ email cá nhân có thể tạo điều kiện cho việc theo dõi hoặc quấy rối.
Phản hồi của công ty bị tranh cãi
Lovense được báo cáo đã nói với các nhà báo rằng các lỗ hổng đã được khắc phục hoàn toàn vào cuối tháng 6 năm 2023. Tuy nhiên, nhà nghiên cứu tuyên bố đã thành công trong việc kiểm tra lỗi tiết lộ email muộn nhất vào ngày 28 tháng 7 năm 2023, cho thấy công ty có thể đang tiếp tục trình bày sai sự thật với các cơ quan truyền thông.
Sự cố này làm nổi bật những câu hỏi rộng lớn hơn về trách nhiệm giải trình trong không gian Internet of Things, nơi các thiết bị kết nối thường xử lý dữ liệu cá nhân nhạy cảm nhưng có thể thiếu giám sát bảo mật mạnh mẽ.
Tham khảo: Lovense: The Company That Lies to Security Researchers