\n<\/p>\n
Una empresa que fabrica un dispositivo de castidad para personas con pene que puede ser controlado por una pareja a trav\u00e9s de Internet expuso las direcciones de correo electr\u00f3nico de los usuarios, contrase\u00f1as en texto plano, domicilios y direcciones IP y, en algunos casos, coordenadas GPS, debido a varios fallos. en sus servidores, seg\u00fan un investigador de seguridad.<\/p>\n
El investigador, que pidi\u00f3 permanecer en el anonimato porque quer\u00eda separar su vida profesional del trabajo pervertido que realiza, dijo que obtuvo acceso a una base de datos que contiene registros de m\u00e1s de 10.000 usuarios, gracias a dos vulnerabilidades. El investigador dijo que aprovech\u00f3 los errores para ver a qu\u00e9 datos pod\u00eda acceder. Tambi\u00e9n se comunic\u00f3 con la compa\u00f1\u00eda el 17 de junio para alertarlos sobre los problemas en un intento de que solucionaran las vulnerabilidades y protegieran los datos de sus usuarios, seg\u00fan una captura de pantalla del correo electr\u00f3nico que envi\u00f3 y comparti\u00f3 con TechCrunch.<\/p>\n
Al momento de la publicaci\u00f3n, la compa\u00f1\u00eda a\u00fan no ha solucionado las vulnerabilidades y no respondi\u00f3 a las repetidas solicitudes de comentarios de TechCrunch.<\/p>\n
\u201cTodo es demasiado f\u00e1cil de explotar. Y eso es irresponsable\u201d, dijo el investigador a TechCrunch. \u00abAs\u00ed que mi mejor esperanza es que se comuniquen con usted o conmigo y arreglen todo\u00bb.<\/p>\n
Debido a que las vulnerabilidades no se han solucionado, TechCrunch no identifica a la empresa para proteger a sus usuarios, cuyos datos a\u00fan est\u00e1n en riesgo. TechCrunch tambi\u00e9n se puso en contacto con el proveedor de alojamiento web de la empresa, que dijo que alertar\u00eda al fabricante del dispositivo, as\u00ed como al Equipo de Respuesta a Emergencias Inform\u00e1ticas de China, o CERT, en un esfuerzo por alertar tambi\u00e9n a la empresa.<\/p>\n
Al no obtener respuestas, el 23 de agosto el investigador desfigur\u00f3 la p\u00e1gina de inicio de la empresa en un intento de advertir nuevamente a la empresa, as\u00ed como a sus usuarios.<\/p>\n
\u201cEl sitio fue desactivado por un tercero ben\u00e9volo. [REDACTED] ha dejado el sitio completamente abierto, permitiendo que cualquier script kiddie obtenga toda la informaci\u00f3n del cliente. Esto incluye contrase\u00f1as en texto plano y al contrario de lo que [REDACTED] ha reclamado, tambi\u00e9n direcciones de env\u00edo. \u00a1De nada!\u00bb escribi\u00f3 el investigador. \u201cSi pag\u00f3 por una unidad f\u00edsica y ahora no puede usarla, lo siento. Pero hay miles de personas con cuentas aqu\u00ed y, de buena fe, no podr\u00eda dejarlo todo en juego\u201d.<\/p>\n
Menos de 24 horas despu\u00e9s, la empresa elimin\u00f3 la advertencia del investigador y restaur\u00f3 el sitio web. Pero la empresa no solucion\u00f3 los fallos, que siguen presentes y explotables.<\/p>\n
Adem\u00e1s de los fallos que le permitieron acceder a la base de datos de los usuarios, el investigador descubri\u00f3 que el sitio web de la empresa tambi\u00e9n expone registros de los pagos de PayPal de los usuarios. Los registros muestran las direcciones de correo electr\u00f3nico de los usuarios que utilizan en PayPal y el d\u00eda en que realizaron el pago.<\/p>\n
La empresa vende una jaula de castidad para personas con pene que se puede vincular a una aplicaci\u00f3n de Android (no existe una aplicaci\u00f3n para iPhone). Con la aplicaci\u00f3n, un compa\u00f1ero, que puede estar en cualquier parte del mundo, puede seguir los movimientos de su compa\u00f1ero, ya que el dispositivo transmite coordenadas GPS precisas hasta unos pocos metros.<\/p>\n
Esta no es la primera vez que los piratas inform\u00e1ticos explotan vulnerabilidades en juguetes sexuales para hombres, en particular en jaulas de castidad. En 2021, un pirata inform\u00e1tico tom\u00f3 el control de los dispositivos de las personas y exigi\u00f3 un rescate.<\/p>\n
\u00abTu polla ahora es m\u00eda\u00bb, le dijo el hacker a una de las v\u00edctimas, seg\u00fan un investigador que descubri\u00f3 la campa\u00f1a de pirater\u00eda en ese momento.<\/p>\n
El a\u00f1o anterior, investigadores de seguridad hab\u00edan advertido a la empresa sobre graves fallos en su producto que podr\u00edan ser aprovechados por piratas inform\u00e1ticos malintencionados.<\/p>\n
A lo largo de los a\u00f1os, adem\u00e1s de las filtraciones de datos reales, los investigadores de seguridad han encontrado varios problemas de seguridad en los juguetes sexuales conectados a Internet. En 2016, los investigadores encontraron un error en un \u201cromperpanty\u201d con tecnolog\u00eda Bluetooth, que permit\u00eda a cualquiera controlar el juguete sexual de forma remota a trav\u00e9s de Internet. En 2017, un fabricante de juguetes sexuales inteligentes acord\u00f3 llegar a un acuerdo en una demanda presentada por dos mujeres que alegaban que la empresa las espiaba recopilando y registrando \u201cdatos muy \u00edntimos y sensibles\u201d de sus usuarios.<\/p>\n
\u00bfConoce alg\u00fan hackeo o filtraci\u00f3n de datos similar? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electr\u00f3nico lorenzo@techcrunch.com. Tambi\u00e9n puede ponerse en contacto con TechCrunch a trav\u00e9s de SecureDrop.<\/em><\/p>\n<\/div><\/div>\n