Un errore di sicurezza dell’amore consente alle persone di cogliere gli account senza password

La società di giocattoli sessuali abbassa perde gli indirizzi e -mail del consumatore di app e consente l’acquisizione dell’account senza chiedere la password. Come riportato . Sostennero che nel 2023 non riuscivano a correggere il serio bug del lotto.

Secondo l’hacker (successivamente verificato Crunch tecnologico), Lowens consente a qualsiasi nome utente di essere convertito alla corretta conoscenza del proprio indirizzo e -mail, dopo aver disattivato qualcuno nell’app. Con il loro accesso all’API di Lowens, sono stati in grado di ottenere e -mail associate a qualsiasi nome utente pubblico quando eseguono il processo di richiesta rivisto da uno script automatizzato. Riconoscono che le “modalità COM sono particolarmente cattive” che utilizza la piattaforma d’amore per il compito del danno al danno di questi account e condividono i loro nomi utente per questi scopi.

Il ricercatore si rende conto che con l’indirizzo e -mail dell’utente (ciò che già sai o si ottiene utilizzando il bug sopra menzionato), possono produrre token standard che consentono loro di sequestrare un account affiliato senza password. Ha anche funzionato per l’app di Lavens Chrome Extension e Lowens Connect, nonché per il software CAM101 e Streammaster – e account amministrativi.

Babdahakar ha detto che con l’aiuto di un progetto di hacking della tecnologia sessuale hanno riportato per la prima volta gli insetti con amore Nel marzo 2025 e un totale di $ 3.000 furono ricevuti per segnalarli attraverso la piattaforma di sicurezza Hackerone. Dopo una serie di interazioni con i rappresentanti dell’amore, si dice loro che il bug di acquisizione dell’account è stato risolto nel mese precedente all’inizio di giugno, il che non è vero. Lovence ha detto in relazione all’errore di rivelare l’email Bobdahakar ha stampato che ci sarebbero voluti 14 mesi per risolvere il problema, dicendo che una soluzione di un mese “costringerebbe tutti i consumatori a essere aggiornati immediatamente”.

Il ricercatore ha affermato che l’utente di Twitter li aveva contattati, sostenendo di aver trovato lo stesso bug di acquisizione dell’account entro il 2023, e non era così poco dopo aver riferito di amare che il bug fosse stato risolto. Una patch alla fine ha risolto il loro metodo, che ha utilizzato l’end point HTTP per convertire il nome utente in un indirizzo e -mail, ma non lo ha creato fino all’inizio del 2025. Bobdahakar ha dichiarato di aver richiesto un commento dall’amore ma non è arrivato al momento della scrittura.

Questa non è la prima volta che gli utenti dell’amore si sbagliano Privacy Bug d’ansia. Nel 2017, Reditor L’app Love che consente agli utenti di controllare i propri giocattoli sessuali da remoto, registrando l’audio senza il loro permesso e il salvataggio sul proprio telefono. Commentatore in Reddit .