Công ty 'đồ chơi người lớn' nguy cơ bị rò rỉ 20 triệu email khách hàng

Lỗ hổng rò rỉ email chỉ với tên người dùng

Theo phát hiện của các nhà nghiên cứu bảo mật sử dụng biệt danh BobDaHacker, Eva và Rebane, nếu ai đó biết tên người dùng (chẳng hạn thấy trên diễn đàn hoặc buổi phát trực tiếp), họ có thể dùng tài khoản Lovense thông thường (không cần đặc quyền đặc biệt), chạy một đoạn mã biến tên người dùng đó thành một email giả - thao tác này tận dụng hệ thống mã hóa và các phần của Lovense vốn được thiết kế cho mục đích nội bộ.

Email giả này được thêm vào danh sách “bạn bè” trong hệ thống trò chuyện, nhưng khi hệ thống cập nhật danh bạ, nó vô tình tiết lộ email thật phía sau tên người dùng trong mã nguồn nền.

Quá trình này có thể được tự động hóa và hoàn thành trong chưa đầy một giây, khiến tin tặc có thể dễ dàng nhanh chóng thu thập hàng nghìn, thậm chí hàng trăm nghìn địa chỉ email. Lovense hiện có khoảng 20 triệu khách hàng trên toàn cầu, đồng nghĩa với diện bị tấn công là rất lớn.

Lỗ hổng này được phát hiện cùng một lỗ hổng còn nghiêm trọng hơn cho phép chiếm quyền điều khiển tài khoản. Dù lỗ hổng chiếm quyền đã được công ty nhanh chóng khắc phục, lỗ hổng rò rỉ email thì vẫn chưa được vá. Theo Lovense, họ cần nhiều tháng để khắc phục triệt để.

Lovense trả lời các nhà nghiên cứu bảo mật: “Chúng tôi đã triển khai kế hoạch khắc phục dài hạn, dự kiến mất khoảng 10 tháng, trong đó cần thêm ít nhất 4 tháng nữa để triển khai hoàn toàn giải pháp đầy đủ”.

Họ cũng từng cân nhắc một giải pháp nhanh trong 1 tháng, nhưng điều đó sẽ buộc tất cả người dùng phải nâng cấp ứng dụng ngay lập tức - gây gián đoạn cho các phiên bản cũ - nên Lovense đã chọn phương án ổn định và thân thiện hơn với người dùng.

Lovense còn cho biết họ đã triển khai một tính năng proxy để giảm thiểu tác hại, nhưng dường như tính năng này không hoạt động đúng như kỳ vọng.

Cáo buộc thiếu trung thực và xử lý sai lệch

Theo TechRadar Pro trích dẫn lời của BobDaHacker, vấn đề không chỉ là sơ suất bảo mật, mà còn là các hành vi sai phạm nghiêm trọng hơn, “nói dối các nhà nghiên cứu bảo mật về việc đã sửa lỗi nghiêm trọng”, “ưu tiên hỗ trợ phiên bản cũ thay vì bảo vệ người dùng”, “phát ngôn sai lệch với báo chí” và “trả tiền không đồng đều cho các nhà nghiên cứu bảo mật”.

Ông cho biết lỗi rò rỉ email đã được nhà nghiên cứu bảo mật Krissy phát hiện từ năm 2023 và được trả 350 USD (cho hai lỗi). Nhưng dù Lovense tuyên bố đã khắc phục, thực tế lỗi vẫn còn tồn tại.

BobDaHacker cho biết qua email: “Eva, Rebane và tôi đã phát hiện lại cùng một lỗi chiếm quyền tài khoản qua một phương thức khác sử dụng XMPP. Chúng tôi không biết đến công trình của Krissy cho đến khi cô ấy liên hệ sau khi chúng tôi công bố phát hiện. Dù Lovense nói lỗi năm 2023 đã được sửa, họ lại xem báo cáo của chúng tôi là phát hiện mới và trả 3.000 USD”.

Nguy cơ cho người dùng và cách phòng tránh

Vụ việc đặc biệt đáng lo ngại vì thông tin bị rò rỉ có thể đủ để tin tặc tiến hành các chiến dịch lừa đảo cá nhân hóa, dẫn tới đánh cắp danh tính, lừa đảo chuyển tiền, hoặc thậm chí là tấn công bằng mã độc tống tiền.

Nếu lo lắng rằng bạn có thể bị ảnh hưởng, có thể dùng công cụ HaveIBeenPwned? để kiểm tra thông tin của mình có bị rò rỉ hay không. Ngoài ra, nếu bạn lưu mật khẩu trên tài khoản Google, hãy dùng Google Password Checkup để kiểm tra tình trạng an toàn, hoặc cài đặt một trong các trình quản lý mật khẩu uy tín để bảo vệ tài khoản.

Phản hồi chính thức từ Lovense

Ngày 1.8, sau khi TechRadar Pro liên hệ để làm rõ các cáo buộc, Lovense khẳng định: “Tất cả các lỗ hổng được xác định đã được xử lý đầy đủ và không có bằng chứng nào cho thấy chúng bị khai thác ngoài thực tế”.

Lovense cũng giải thích vì sao phải mất nhiều thời gian để khắc phục: “Mặc dù các lỗ hổng liên quan tới địa chỉ email, điều kiện kích hoạt chúng là khác nhau, nên cần các giải pháp riêng biệt và kiểm thử kỹ lưỡng. Chúng tôi áp dụng chiến lược hai hướng: xử lý khẩn cấp và tối ưu hóa lâu dài. Kế hoạch tái cấu trúc hệ thống kéo dài 14 tháng đã được rút ngắn đáng kể nhờ nỗ lực của đội ngũ. Nói rằng có thể sửa trong 2 ngày là đánh giá sai lệch, bỏ qua toàn bộ công sức đã bỏ ra”.

Về việc trả công không đồng đều cho các nhà nghiên cứu bảo mật, Lovense giải thích: “Nền tảng HackerOne có hệ thống thưởng rõ ràng nhưng phức tạp, dựa trên mức độ nghiêm trọng của lỗi và khung thưởng tương ứng. Quá trình đánh giá nhiều yếu tố như độ phức tạp, phạm vi ảnh hưởng, hiểu biết chung giữa hai bên và khung thưởng được thiết lập. Kết quả là mức chi trả sẽ khác nhau”.

Bùi Tú