يقول باحث أمني إن صانع ألعاب الجنس لوفينس فشل في إصلاح عيبين أمنيين بشكل كامل يعرضان عنوان البريد الإلكتروني الخاص بمستخدميه ويسمحان بالاستيلاء على أي حساب مستخدم.
الباحث، الذي يُعرف باسم BobDaHacker، نشر تفاصيل الثغرات يوم الاثنين بعد أن ادّعت لوفينس أنها ستحتاج إلى 14 شهراً لإصلاح العيوب حتى لا تزعج مستخدمي بعض منتجاتها القديمة.
لوفينس هي واحدة من أكبر صانعي ألعاب الجنس المتصلة بالإنترنت، ومن المعتقد أن لديها أكثر من 20 مليون مستخدم. تصدرت الشركة عناوين الصحف في عام 2023 بعد أن أصبحت واحدة من أوائل صانعي ألعاب الجنس الذين دمجوا ChatGPT في منتجاتهم.
لكن المخاطر الأمنية الكامنة في ربط ألعاب الجنس بالإنترنت يمكن أن تعرض المستخدمين لخطر الأذى الحقيقي إذا حدث خطأ ما، بما في ذلك حبس الأجهزة وتسريبات خصوصية البيانات.
قال BobDaHacker إنه اكتشف أن لوفينس كانت تسرب عناوين بريد إلكتروني لأشخاص آخرين أثناء استخدام التطبيق. على الرغم من أن عناوين البريد الإلكتروني الخاصة بالمستخدمين الآخرين لم تكن مرئية للمستخدمين في التطبيق، أي شخص يستخدم أداة تحليل الشبكة لفحص البيانات المتدفقة داخل وخارج التطبيق سيرى عنوان البريد الإلكتروني الخاص بالمستخدم الآخر عند التفاعل معهم، مثل كتم الصوت.
من خلال تعديل الطلب الشبكي من حساب مسجّل، قال BobDaHacker إنه يمكنهم ربط أي اسم مستخدم لوفينس بعنوان البريد الإلكتروني المسجل الخاص بهم، مما قد يعرض أي عميل قام بالتسجيل في لوفينس بعنوان بريد إلكتروني يمكن التعرف عليه.
“كان هذا سيئًا بشكل خاص لنماذج الكاميرا التي تشارك أسماء مستخدمها علنًا، ولكنها لا تريد بالطبع كشف بريدها الإلكتروني الشخصي” كتب BobDaHacker في منشور مدونته.
تحققت TechCrunch من هذا الخطأ من خلال إنشاء حساب جديد على لوفينس وطلبت من BobDaHacker أن يكشف عنوان البريد الإلكتروني الخاص بنا المسجل، وهو ما فعله في حوالي دقيقة. من خلال أتمتة العملية باستخدام برنامج حاسوبي، قال الباحث إنه يمكنه الحصول على عنوان بريد إلكتروني لمستخدم في أقل من ثانية.
قال BobDaHacker إن ثغرة ثانية سمحت لهم بالاستيلاء على أي حساب مستخدم لدى لوفينس باستخدام بريدهم الإلكتروني فقط، والذي يمكن اشتقاقه من الثغرة السابقة. هذه الثغرة تسمح لأي شخص بإنشاء رموز مصادقة للوصول إلى حساب لوفينس دون الحاجة إلى كلمة مرور، مما يسمح للمهاجم بالتحكم عن بُعد في الحساب كما لو كان المستخدم الحقيقي.
“تستخدم نماذج الكاميرا هذه الأدوات للعمل، لذا كان هذا أمراً كبيراً. حرفيًا، يمكن لأي شخص الاستيلاء على أي حساب فقط من خلال معرفة عنوان البريد الإلكتروني” قال BobDaHacker.
تؤثر الأخطاء على أي شخص لديه حساب أو جهاز من لوفينس.
كشف BobDaHacker عن الأخطاء إلى لوفينس في 26 مارس عبر مشروع إنترنت قضيب دوونغ، وهو مشروع يهدف إلى تحسين الأمن وخصوصية ألعاب الجنس، ويساعد على الإبلاغ عن العيوب وكشفها لمصنّعي الأجهزة.
وفقًا لـ BobDaHacker، تم منحهم إجمالي 3000 دولار عبر موقع مكافآت الأخطاء HackerOne. ولكن بعد عدة أسابيع من المفاوضات حول ما إذا كانت الأخطاء قد تم إصلاحها بالفعل، خرج الباحث للعلن هذا الأسبوع بعد أن طلبت لوفينس 14 شهرًا لإصلاح العيوب. (عادة ما يمنح الباحثون الأمنيون البائعين ثلاثة أشهر أو أقل لإصلاح عيب أمني قبل الذهاب للعلن بنتائجهم.) أخبرت الشركة BobDaHacker في نفس البريد الإلكتروني أنها قررت عدم اتخاذ “إصلاح أسرع في شهر واحد”، والذي كان سيتطلب إجبار العملاء الذين يستخدمون منتجات قديمة على ترقية تطبيقاتهم فورًا.
أخبر الباحث الشركة قبل الكشف، وفقًا لبريد إلكتروني اطلع عليه TechCrunch. قال BobDaHacker في تحديث منشور المدونة يوم الثلاثاء إن الخطأ قد تم تحديده بواسطة باحث آخر منذ سبتمبر 2023، ولكن يُزعم أنه تم إغلاق الخطأ دون إصلاح.
لم تستجب لوفينس لبريد إلكتروني من TechCrunch.