Uma empresa que fabrica um dispositivo de castidade para pessoas com pênis que pode ser controlado por um parceiro pela internet expôs endereços de e-mail, senhas em texto simples, endereços residenciais e endereços IP dos usuários e, em alguns casos, coordenadas GPS, devido a diversas falhas em seus servidores, de acordo com um pesquisador de segurança.
O pesquisador, que pediu para permanecer anônimo porque queria separar sua vida profissional do trabalho relacionado a perversões que realiza, disse que obteve acesso a um banco de dados contendo registros de mais de 10 mil usuários, graças a duas vulnerabilidades. O pesquisador disse que explorou os bugs para ver a quais dados poderia obter acesso. Ele também entrou em contato com a empresa em 17 de junho, alertando-a sobre os problemas, na tentativa de fazer com que corrigissem as vulnerabilidades e protegessem os dados de seus usuários, de acordo com uma captura de tela do e-mail que ele enviou e compartilhou com o TechCrunch.
Até a publicação, a empresa ainda não corrigiu as vulnerabilidades e não respondeu aos repetidos pedidos de comentários do TechCrunch.
“Tudo é muito fácil de explorar. E isso é irresponsável”, disse o pesquisador ao TechCrunch. “Portanto, minha maior esperança é que eles entrem em contato com você ou comigo e resolvam tudo.”
Como as vulnerabilidades não foram corrigidas, o TechCrunch não identifica a empresa para proteger seus usuários, cujos dados ainda estão em risco. O TechCrunch também contatou o host da empresa, que disse que alertaria o fabricante do dispositivo, bem como a Equipe de Resposta a Emergências de Computadores da China, ou CERT, em um esforço para alertar também a empresa.
Por não obter respostas, no dia 23 de agosto o pesquisador desfigurou a homepage da empresa na tentativa de alertar novamente a empresa, bem como seus usuários.
“O site foi desativado por um terceiro benevolente. (REDIGIDO) deixou o site totalmente aberto, permitindo que qualquer script kiddie obtenha toda e qualquer informação do cliente. Isso inclui senhas em texto simples e, ao contrário do que (REDIGIDO) alegou, também endereços de entrega. De nada!” escreveu o pesquisador. “Se você pagou por uma unidade física e agora não pode utilizá-la, sinto muito. Mas há milhares de pessoas com contas aqui e eu não poderia, de boa fé, deixar tudo em aberto.”
Menos de 24 horas depois, a empresa retirou o aviso do pesquisador e restaurou o site. Mas a empresa não corrigiu as falhas, que continuam presentes e exploráveis.
Além das falhas que lhe permitiram ter acesso à base de dados dos utilizadores, o investigador descobriu que o site da empresa também está a expor registos de pagamentos PayPal dos utilizadores. Os registros mostram os endereços de e-mail dos usuários que utilizam no PayPal e o dia em que efetuaram o pagamento.
A empresa vende uma gaiola de castidade para pessoas com pênis que pode ser vinculada a um aplicativo Android (não há aplicativo para iPhone). Através do aplicativo, um parceiro – que pode estar em qualquer lugar do mundo – pode acompanhar os movimentos de seu parceiro, já que o aparelho transmite coordenadas GPS precisas até alguns metros.
Esta não é a primeira vez que hackers exploram vulnerabilidades em brinquedos sexuais para homens, em particular gaiolas de castidade. Em 2021, um hacker assumiu o controle dos dispositivos das pessoas e exigiu um resgate.
“Seu pau é meu agora”, disse o hacker a uma das vítimas, segundo um pesquisador que descobriu a campanha de hackers na época.
No ano anterior, pesquisadores de segurança alertaram a empresa sobre falhas graves em seu produto que poderiam ser exploradas por hackers mal-intencionados.
Ao longo dos anos, além das violações de dados reais, os pesquisadores de segurança encontraram vários problemas de segurança em brinquedos sexuais conectados à internet. Em 2016, pesquisadores encontraram um bug em um “panty buster” alimentado por Bluetooth, que permitia a qualquer pessoa controlar o brinquedo sexual remotamente pela internet. Em 2017, um fabricante inteligente de brinquedos sexuais concordou em resolver um processo arquivado por duas mulheres que alegaram que a empresa as espionou, coletando e registrando “dados altamente íntimos e sensíveis” de seus usuários.
Você conhece algum hack ou violação de dados semelhante? De um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou e-mail lorenzo@techcrunch.com. Você também pode entrar em contato com o TechCrunch via SecureDrop.