在供應商介入并修補安全漏洞之前,有關成人虛擬現實(VR)應用程序中兩個漏洞的詳細信息已經公布了五天。
Digital Interruption,一家英國的網絡安全公司發布的研究顯示
SinVR是一款基于網絡的服務,銷售以成人為主題的VR應用程序,其中包含兩個漏洞,允許攻擊者直接下載在該網站創建賬戶或者使用Paypal消費的用戶名字、郵件、設備信息。
研究院在沒有聯系到供應商之后披露該漏洞
Digital Interruption研究人員在1月10日發表的一篇博文中說:“最初我們計劃在漏洞修復后發布這篇文章,但經過多次嘗試后,我們無法聯系到SinVR公司。”
他補充道:“我們嘗試通過電子郵件聯系我們可以找到的地址,將私人消息發送到他們的(活動)reddit帳戶,并通過Twitter進行傳播。“由于發現的問題的性質嚴重,我們做出了一個棘手的決定,要把其中一個問題公開提醒公眾注意,警告用戶他們的數據沒有得到適當的保護。”
雖然研究人員沒有發布概念驗證代碼,但他們確實分享了編輯過的截圖,一個精明的攻擊者會明白如何利用自己的優勢。
在公開披露五天后修補安全漏洞
公開披露五天后,幾個小故事開始沖擊更大的新聞媒體,SinVR修補了它的服務漏洞。雖然金融機構的數據泄露通常純屬財務影響,但來自成人網站的數據泄露會帶來更為深遠的后果。
例如,在約會網站Ashley Madison發生2015年違約事件之后,路易斯安娜州的一位牧師因為在該網站上有賬戶而被驅逐,最終結束了自己的生命。
Digital Interruption研究人員說,SinVR泄露的信息類型有可能“相當尷尬”,并且“不排除有用戶因此而被勒索的可能性”。
Bleeping Computer已經聯系到SinVR,并正式詢問該公司是否檢測到任何使用Digital Interruption報告的漏洞的用戶從其網站收集客戶數據。
SinVR發言人就此事提供以下陳述:
Digital Interruption在發布結果之前給了我們充分的警告,一旦向我們透露了問題,我們就立即解決。我們正在與他們聯系,他們證實,概述的安全漏洞已關閉。我們沒有發現任何證據表明有人利用這個漏洞收集我們客戶的數據。總的來說,這是一個巨大的學習經驗,這將有助于加強我們的安全,我們很高興它是道德的。展望未來,我們有信心防范安全漏洞,并將繼續使用專業安全服務來審計我們的系統。我們確保所有“后門”入侵都是完全自愿的。
京公網安備 11010502049343號