Производитель секс-игрушек грозит судебным иском после устранения уязвимостей безопасности, которые раскрыли данные пользователей

Производитель умных секс-игрушек устранил опасные уязвимости, но теперь намерен судиться с теми, кто их раскрыл.

Компания Lovense, известная своими высокотехнологичными интим-гаджетами с подключением к интернету, подтвердила ликвидацию двух серьёзных уязвимостей, ставивших под угрозу конфиденциальность пользователей. Ошибки в системе позволяли злоумышленникам не только узнавать электронные почты владельцев устройств, но и получать полный контроль над их аккаунтами.

Несмотря на оперативное исправление багов, руководство компании не оценило усилия исследователей, обнаруживших проблему. Напротив, генеральный директор Lovense Дэн Лю заявил, что компания «рассматривает возможность судебного иска» в ответ на публикацию информации об уязвимостях. Пока неясно, против кого именно направлена угроза — против СМИ или независимых специалистов по кибербезопасности.

Как обнаружили уязвимости?

История началась, когда исследователь под псевдонимом BobDaHacker сообщил Lovense о двух критических ошибках в системе. Первая позволяла узнать email любого пользователя, а вторая давала возможность взломать аккаунт и получить удалённый доступ к устройству.

Изначально компания заявила, что для полного устранения проблем потребуется 14 месяцев. Однако после публикации данных об уязвимостях исправления выпустили всего за месяц. Правда, теперь пользователям придётся обновить приложение, чтобы продолжить пользоваться всеми функциями.

Были ли данные украдены?

Lovense настаивает, что нет доказательств компрометации данных, включая email-адреса и информацию аккаунтов. Однако TechCrunch и другие издания экспериментально подтвердили утечку: создав тестовый профиль, журналисты смогли получить связанный с ним email через уязвимость.

Когда TechCrunch спросил, какие именно логи и механизмы мониторинга использовала компания для проверки утечек, представители Lovense предпочли промолчать.

Юридические угрозы вместо благодарности

Угрозы судом в подобных случаях — не редкость. Компании часто пытаются замять неудобные инциденты, даже если закон не запрещает разглашение информации об уязвимостях.

Например, в 2023 году чиновники во Флориде пытались привлечь к ответственности исследователя за обнаружение бреши в системе судебных документов. А в этом году британский суд безуспешно требовал запретить публикации о хакерской атаке на медицинскую компанию HCRG.

Пока Lovense не уточняет, кого именно собирается судить, но ясно одно: даже после исправления ошибок доверие пользователей к бренду может пострадать. Вопрос в том, поможет ли давление на исследователей и СМИ восстановить репутацию — или лишь усугубит ситуацию.