Une déficience de sécurité aimante sans mot de passe permettra aux gens de prendre des comptes
La société de jouets sexuels Lowans divulgue ses utilisateurs de services publics d’adresses électroniques et permet la comptabilité de la comptabilité sans demander de mot de passe, selon un chercheur en sécurité. Signalé . En cela, ils ont accusé Lowens de ne pas réparer une grave erreur, qui a été connue pour la première fois en 2023.
Selon le pirate (puis vérifié Cruplement technologique. En approchant de l’API des lavans, ils ont pu obtenir des e-mails associés à tout nom d’utilisateur général lors de l’exploitation du processus de demande modifié via le script automatique. La vulnérabilité de ces comptes est « en particulier le pire des modèles de jeu », ils utilisent pour le travail et peuvent partager leurs noms d’utilisateur à ces fins.
Le chercheur a également estimé qu’avec l’adresse e-mail d’un utilisateur (celle que vous connaissez ou celle reçue en utilisant l’erreur de révélation ci-dessus), les jetons d’accréditation qui ont été autorisés à prendre le compte pertinent sans le mot de passe. Il aurait fonctionné pour l’extension Lavens Chrome et l’utilisation du Lavens Connect, ainsi que les comptes CAM101 et StreamMaster de l’entreprise – et les comptes de gestion.
Boptahgar a déclaré avoir initialement signalé les erreurs avec l’aide du programme de piratage de la technologie sexuelle En mars 2025, le Hacaron a reçu un total de 3 000 $ pour les drapeaux via le site de sécurité. Après une série de contacts avec des représentants de l’amour, ils ont été informés début juin que l’erreur comptable avait été déterminée le mois précédent, qui dit que le chercheur dit. Dans le cas de l’expression de Mail E, les bases sont un Il a été imprimé par le Baptahakar qui pourrait prendre jusqu’à 14 mois pour résoudre le problème, car une solution d’un mois devrait être « obligée d’améliorer immédiatement tous les utilisateurs », qui a déclaré qu’elle « perturberait le support des versions traditionnelles ».
Le chercheur a déclaré qu’un utilisateur de Twitter, qui a affirmé qu’il avait découvert la même erreur comptable jusqu’en 2023, a déclaré que le chercheur s’était plaint à Lavans peu de temps après la résolution de l’erreur, et ce n’était pas le cas. Ils ont affirmé qu’un correctif avait finalement ajusté leur méthode, qui a utilisé une finale HTTP pour convertir un nom d’utilisateur en adresse e-mail, mais elle n’a été publiée qu’au début de 2025. Popthacker a déclaré qu’ils avaient demandé des commentaires de Lovens, mais n’en avaient pas eu au moment de la rédaction.
Ce n’est pas la première fois que les utilisateurs aiment trébuchent Éprouvé Erreurs d’anxiété. En 2017, un répertoire L’utilisation des pelouses, qui permet aux utilisateurs de contrôler à distance leurs jouets sexuels, a enregistré l’audio sans leur permission et de les enregistrer sur leur téléphone. Commentateur sur reddit La personne qui prétendait être un représentant romantique a qualifié les enregistrements de « petite erreur logicielle », qui a affecté la version Android de l’application et a déclaré qu’elle avait été corrigée lors d’une mise à jour.
