« L’amour est aveugle, en particulier lorsqu’il laisse vos données en ligne à la dérive » comme disait ma mémé au temps de l’email et du minitel. Une entreprise fabriquant des dispositifs de chasteté pour personnes à pénis, pouvant être contrôlés via Internet par un partenaire, a laissé les adresses emails, mots de passe en clair, adresses postales, adresses IP et même parfois les coordonnées GPS de ses utilisateurs à la merci des pirates, à cause de certaines vulnérabilités de ses serveurs, révèle un chercheur en sécurité.
Le chercheur, qui a préféré rester anonyme, entre sa passion pour la résolution des failles de sécurité et la découverte des secrets les plus intimes d’autrui, a réussi à accéder à une base de données contenant rien de moins que les enregistrements de plus de 10 000 utilisateurs. Et tout cela grâce à deux vulnérabilités qu’il a su exploiter. Il a tenté de contacter l’entreprise le 17 juin pour les mettre en garde, d’après un screenshot de son email que TechCrunch a pu obtenir.
« L’entreprise à ce jour n’a toujours pas corrigé ces vulnérabilités et n’a pas répondu aux demandes répétées de TechCrunch. »
Face à ce manque d’action, notre chercheur impatient a décidé le 23 août de mettre una pancarte « attention travaux » sur la page d’accueil de l’entreprise, tentant une nouvelle fois d’attirer l’attention de celle-ci, et surtout de ses utilisateurs.
Son avertissement a duré moins de 24 heures, le temps pour l’entreprise de le supprimer et de rétablir son site. Sauf que sans surprise, les vulnérabilités sont toujours présentes.
Outre l’accès à la base de donnée, notre Zorro du cyberespace a également découvert que le site de l’entreprise exposait aussi les registres de paiement PayPal de ses utilisateurs. On parle ici des adresses emails utilisées pour PayPal et de jour du paiement. Histoire de rajouter une couche au camembert.
Ceci n’est malheureusement pas une première, et il semble que ces accessoires pour adeptes de la retenue, en particulier ces cages de chastetés, soient des cibles prisées par les hackers. En 2021, un de ces plaisantins a carrément pris le contrôle des appareils des gens et a exigé une rançon.
« Bien sûr, ces tentatives de hacking peuvent effrayer les amateurs de ces jouets, mais si vous vous sentez piégé, n’oubliez pas que c’est tout de même le but du produit ! »
Source : Techcrunch