Una empresa que fabrica un dispositivo de castidad para personas con pene que puede ser controlado por una pareja a través de Internet expuso las direcciones de correo electrónico de los usuarios, contraseñas en texto plano, domicilios y direcciones IP y, en algunos casos, coordenadas GPS, debido a varios fallos. en sus servidores, según un investigador de seguridad.
El investigador, que pidió permanecer en el anonimato porque quería separar su vida profesional del trabajo pervertido que realiza, dijo que obtuvo acceso a una base de datos que contiene registros de más de 10.000 usuarios, gracias a dos vulnerabilidades. El investigador dijo que aprovechó los errores para ver a qué datos podía acceder. También se comunicó con la compañía el 17 de junio para alertarlos sobre los problemas en un intento de que solucionaran las vulnerabilidades y protegieran los datos de sus usuarios, según una captura de pantalla del correo electrónico que envió y compartió con TechCrunch.
Al momento de la publicación, la compañía aún no ha solucionado las vulnerabilidades y no respondió a las repetidas solicitudes de comentarios de TechCrunch.
“Todo es demasiado fácil de explotar. Y eso es irresponsable”, dijo el investigador a TechCrunch. «Así que mi mejor esperanza es que se comuniquen con usted o conmigo y arreglen todo».
Debido a que las vulnerabilidades no se han solucionado, TechCrunch no identifica a la empresa para proteger a sus usuarios, cuyos datos aún están en riesgo. TechCrunch también se puso en contacto con el proveedor de alojamiento web de la empresa, que dijo que alertaría al fabricante del dispositivo, así como al Equipo de Respuesta a Emergencias Informáticas de China, o CERT, en un esfuerzo por alertar también a la empresa.
Al no obtener respuestas, el 23 de agosto el investigador desfiguró la página de inicio de la empresa en un intento de advertir nuevamente a la empresa, así como a sus usuarios.
“El sitio fue desactivado por un tercero benévolo. [REDACTED] ha dejado el sitio completamente abierto, permitiendo que cualquier script kiddie obtenga toda la información del cliente. Esto incluye contraseñas en texto plano y al contrario de lo que [REDACTED] ha reclamado, también direcciones de envío. ¡De nada!» escribió el investigador. “Si pagó por una unidad física y ahora no puede usarla, lo siento. Pero hay miles de personas con cuentas aquí y, de buena fe, no podría dejarlo todo en juego”.
Menos de 24 horas después, la empresa eliminó la advertencia del investigador y restauró el sitio web. Pero la empresa no solucionó los fallos, que siguen presentes y explotables.
Además de los fallos que le permitieron acceder a la base de datos de los usuarios, el investigador descubrió que el sitio web de la empresa también expone registros de los pagos de PayPal de los usuarios. Los registros muestran las direcciones de correo electrónico de los usuarios que utilizan en PayPal y el día en que realizaron el pago.
La empresa vende una jaula de castidad para personas con pene que se puede vincular a una aplicación de Android (no existe una aplicación para iPhone). Con la aplicación, un compañero, que puede estar en cualquier parte del mundo, puede seguir los movimientos de su compañero, ya que el dispositivo transmite coordenadas GPS precisas hasta unos pocos metros.
Esta no es la primera vez que los piratas informáticos explotan vulnerabilidades en juguetes sexuales para hombres, en particular en jaulas de castidad. En 2021, un pirata informático tomó el control de los dispositivos de las personas y exigió un rescate.
«Tu polla ahora es mía», le dijo el hacker a una de las víctimas, según un investigador que descubrió la campaña de piratería en ese momento.
El año anterior, investigadores de seguridad habían advertido a la empresa sobre graves fallos en su producto que podrían ser aprovechados por piratas informáticos malintencionados.
A lo largo de los años, además de las filtraciones de datos reales, los investigadores de seguridad han encontrado varios problemas de seguridad en los juguetes sexuales conectados a Internet. En 2016, los investigadores encontraron un error en un “romperpanty” con tecnología Bluetooth, que permitía a cualquiera controlar el juguete sexual de forma remota a través de Internet. En 2017, un fabricante de juguetes sexuales inteligentes acordó llegar a un acuerdo en una demanda presentada por dos mujeres que alegaban que la empresa las espiaba recopilando y registrando “datos muy íntimos y sensibles” de sus usuarios.
¿Conoce algún hackeo o filtración de datos similar? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico [email protected]. También puede ponerse en contacto con TechCrunch a través de SecureDrop.