Uppdatering: SinVR säger att det har åtgärdat problemet som uppmärksammades av säkerhetsföretaget Digital Interruption:
”Digital avbrott gav oss riklig varning innan vi publicerade sitt fynd och vi åtgärdade problemet så snart det avslöjades för oss”, sa en talesperson för företaget till Alphr. ”Vi är i kontakt med dem och de bekräftade att det skisserade säkerhetshålet var stängt. Sammantaget har det varit en oerhörd lärorik erfarenhet som kommer att stärka vår säkerhet och vi är glada över att det genomfördes etiskt.
”Vi går framåt, vi är säkra på vår förmåga att stoppa liknande attacker och kommer att fortsätta använda en professionell säkerhetstjänst för att granska vårt system. Vi ser till att alla intrång i ”bakdörren” sker med fullt samförstånd.”
Digital Interruption bekräftade korrigeringen i en tweet:
Den ursprungliga historien fortsätter nedan:
Omkring 20 000 personer har fått sin data exponerad efter en säkerhetsläcka hos vuxen VR-appen SinVR.
SinVR är ett pornografiskt virtuell verklighetsspel som erbjuder användarna sina egna ”privat fängelsehåla”. Som Säkerhetsreskontra rapporterar, avslöjades tiotusentals kundregister av det brittiska säkerhetsföretaget Digitalt avbrott, som hittade en högrisksårbarhet i SinVR-applikationen. Detta ledde de etiska hackarna till namn, e-postadresser och enhetsnamn för alla med ett SinVR-konto, såväl som alla som betalade för innehåll med PayPal.
”Inte bara kunde en angripare använda detta för att utföra sociala ingenjörsattacker, utan på grund av applikationens natur är det potentiellt ganska pinsamt att få detaljer som denna läckta”, skriver Digital Interruption i en blogginlägg. ”Det ligger inte utanför möjligheten att vissa användare kan bli utpressade med denna information.
(Kredit: SinVR)
LÄS NÄSTA – Beyond Pornhub: Sexrebellerna återtar vuxenfilm
Digital Interruption upptäckte sårbarheten som en del av en undersökning av webbplatser för vuxna. Teamet omvandlade SinVR-skrivbordsappen och kom över den oansenliga namngivna funktionen ”downloadallcustomers”. Funktionen kunde inte aktiveras från själva applikationen, men genom att titta på hur webb-API:t fungerade utlöste forskarna det manuellt.
Efter att ha varit frustrerade i sina försök att kontakta SinVRs moderbolag, InVR Inc, tog forskarna steget att offentliggöra sina resultat – vilket de gjorde förra veckan, dock inte utan att censurera personliga detaljer i sina skärmdumpar. De hävdar att det skulle vara möjligt för en angripare att ladda ner en fullständig lista över SinVR-användare, även om lösenord och kreditkortsuppgifter inte är en del av datadumpen.
(Ovan: Censurerad bild av läckt data som erhållits av Digital Disruption. Kredit: Digital Interruption)
Användarna på en sajt som SinVR kan vara små jämfört med de på otrohetsdejtingsajten Ashley Madison – som bröts upp 2015 – men, som Digital Interruption noterar, kan en angripare på samma sätt använda appens känsliga natur för utpressning.
SinVR har bekräftat att problemet nu är åtgärdat, och lovordar Digital Interruptions arbete: ”Sammantaget har det varit en enorm lärorik upplevelse, som kommer att tjäna till att förbättra vår säkerhet och vi är glada att det genomfördes etiskt,” sa en talesman för appen. .
