Lovense, un fabricant de jouets sexuels conçus sur Internet, a confirmé qu’il avait corrigé une paire de vulnérabilités de sécurité qui exposaient les adresses e-mail privées des utilisateurs et permis aux attaquants de se remédier à toute utilisation.
Alors que la société a déclaré que les bogues étaient «entièrement résolus», son directeur général envisage maintenant de prendre des mesures judiciaires à la suite de la divulgation.
Dans un statlement partagé avec TechCrunch, le PDG de Lovense, Dan Liu, a déclaré que le fabricant de jouets sexuels « enquêtait sur la possibilité d’une action en justice » en fonction des rabatteurs alronous sur le bogue. Lorsqu’on lui a demandé par TechCrunch, la société n’a pas répondu à la précision de la référence des rapports des médias ou de la divulgation d’un chercheur en sécurité.
Les détails du bogue sont apparus cette semaine après qu’un chercheur en sécurité, qui passe par la poignée Bobdahacker, a révélé qu’ils signalent les deux bogues de sécurité au fabricant de jouets sexuels plus tôt cette année. Le chercheur a publié leurs résultats après que Lovese a affirmé qu’il faudrait 14 mois pour aborder pleinement les vulnérabilités plutôt que d’appliquer un «correctif plus rapide et d’un mois» qui aurait obligé à alerter les utilisateurs pour mettre à jour leurs applications.
Lovense a déclaré dans son stame, décerné à Liu, que les correctifs mis en place obligeront les utilisateurs à mettre à jour leurs applications avant de pouvoir reprendre en utilisant les fonctionnalités de l’application.
Dans le statut, Liu a affirmé qu’il n’y avait «aucune preuve suggérant que des données utilisateur, incluaient des adresses e-mail ou des informations habituées, ont été compromises ou mal utilisées». On ne sait pas comment Lovense est arrivé à cette conclusion, étant donné que TechCrunch (et d’autres points de vente) ont vérifié le bug de la divulgation par e-mail en définissant un nouveau compte et en demandant au chercheur d’identifier l’adresse e-mail associée.
TechCrunch a demandé à Lovense ce que signifie technique, tel que les journaux, la société a été déterminée en cas de compromis des données des utilisations, mais un porte-parole n’a pas répondu.
Il n’est pas inconnu pour les organisations de recourir à la demande et aux fils juridiques pour essayer de bloquer la divulgation d’incidents de sécurité embarrassants, malgré peu de règles ou de restrictions aux États-Unis interdisant de tels rapports.
Plus tôt cette année, un journaliste indépendant des États-Unis a repoussé une menace juridique d’une injonction britannique pour avoir rendu compte avec précision de l’attaque des ransomwares contre le géant des soins de santé privé britannique HCRG. En 2023, un responsable du comté dans le comté de Hillsborough, en Floride, a menacé des accusations pénales contre un chercheur en sécurité en vertu des lois sur le piratage informatique de l’État pour identifier et divulguer privé un défaut de sécurité dans le système de dossiers judiciaires du comté qui exposait.

