સેક્સ ટોય કંપની લવેન્સ તેના એપ્લિકેશન વપરાશકર્તાઓના ઇમેઇલ સરનામાંને લીક કરી રહી છે અને સલામતી સંશોધનકારના જણાવ્યા મુજબ, પાસવર્ડ માટે પાસવર્ડ વિના ટેકઓવરને મંજૂરી આપે છે. નોંધાયેલું પોતાને નૈતિક હેકર તરીકે વર્ણવતા બોબદાહેકર સુરક્ષા નબળાઇઓને પ્રકાશિત કરવા અને જાણ કરવા માટે પ્રતિબદ્ધ છે, એક પ્રકાશક પ્રકાશિત કરે છે જેમાં તેમણે લેવેન્સ પર ગંભીર બગને ઠીક કરવામાં નિષ્ફળ હોવાનો આરોપ લગાવ્યો હતો, જે 2023 માં પ્રથમ રજૂ કરવામાં આવ્યો હતો.

હેકર અનુસાર (અને પછીની ચકાસણી ટેકકાચ), લોવાન્સ કોઈપણ વપરાશકર્તા નામને તેના ઇમેઇલ સરનામાંમાં સાચી માહિતી સાથે બદલવાની મંજૂરી આપે છે, એક ખામી કે જે તેઓએ એપ્લિકેશન પર કોઈને મ્યૂટ કર્યા પછી શરૂઆતમાં શોધી કા .ી હતી. લેવેન્સના API ની તેમની access ક્સેસ સાથે, તેઓ સ્વચાલિત સ્ક્રિપ્ટ દ્વારા સુધારેલી વિનંતી પ્રક્રિયા ચલાવતા સમયે કોઈપણ જાહેર વપરાશકર્તા નામ સાથે સંકળાયેલ ઇમેઇલ્સ મેળવવા માટે સક્ષમ હતા. તેમણે કહ્યું કે આ એકાઉન્ટ્સનો નબળો સ્વભાવ “ખાસ કરીને કમ મ model ડેલ માટે ખરાબ છે” જે કાર્ય માટે લવન્સ પ્લેટફોર્મનો ઉપયોગ કરે છે, અને આ હેતુઓ માટે તેમના વપરાશકર્તા નામો શેર કરી શકે છે.

સંશોધનકારે એ પણ સમજાયું કે વપરાશકર્તાના ઇમેઇલ સરનામાં સાથે (તમે જાણો છો અથવા ઉપરોક્ત ડિસ્ક્લોઝર બગનો ઉપયોગ કરીને મેળવવામાં આવ્યા હતા), તેઓ અધિકૃત ટોકન્સ ઉત્પન્ન કરી શકે છે જે તેમને પાસવર્ડ વિના સંબંધિત એકાઉન્ટ લેવાની મંજૂરી આપે છે. આ કથિત રૂપે કંપનીના સીએએમ 101 અને સ્ટ્રીમમાસ્ટર સ software ફ્ટવેર માટે કામ કર્યું હતું – અને એડમિનિસ્ટ્રેટરના એકાઉન્ટ્સ માટે પણ કામ કર્યું હતું – લવન્સ ક્રોમ એક્સ્ટેંશન અને લોવિન્સ કનેક્ટ એપ્લિકેશન સાથે.

બોબદાહેકરે જણાવ્યું હતું કે તેણે માર્ચ 2025 માં સેક્સ ટેક હેકિંગ પ્રોજેક્ટની મદદથી શરૂઆતમાં બેગને પ્રેમની જાણ કરી હતી, અને તેને હકારાન સુરક્ષા પ્લેટફોર્મ દ્વારા ધ્વજવંદન કરવા માટે કુલ $ 3,000 પ્રાપ્ત કર્યા હતા. લવન્સના પ્રતિનિધિઓ સાથે શ્રેણીબદ્ધ ક્રિયાપ્રતિક્રિયા પછી, તેમને જૂનના પ્રારંભમાં કહેવામાં આવ્યું હતું કે પાછલા મહિના દરમિયાન એકાઉન્ટ એક્વિઝિશન બગ નક્કી કરવામાં આવી હતી, જે સંશોધનકર્તા દાવો કરે છે કે આ સાચું નથી. ઇમેઇલ ડિસ્ક્લોઝર ખામી અંગે, લોવાન્સે બોબદાહેકર દ્વારા છપાયેલા એક જણાવ્યું હતું કે, આ મુદ્દાને ઠીક કરવામાં 14 મહિનાનો સમય લાગી શકે છે, કારણ કે એક મહિનાના ઝડપી ફિક્સને “બધા વપરાશકર્તાઓને તાત્કાલિક અપગ્રેડ કરવાની ફરજ પાડવામાં આવશે,” એમ કહ્યું હતું કે, “કહ્યું હતું કે” હેરિટેજ સંસ્કરણો માટેના ટેકોમાં વિક્ષેપ પાડશે.

સંશોધનકારે જણાવ્યું હતું કે ટ્વિટર વપરાશકર્તા દ્વારા તેનો સંપર્ક કરવામાં આવ્યો હતો, અને દાવો કર્યો હતો કે આ જ એકાઉન્ટ ટેકઓવર 2023 તરીકે મળી આવ્યું હતું, અને તે બગને જાણ કર્યા પછી ટૂંક સમયમાં જ જાણ કરવામાં આવી હતી કે બગનું નિરાકરણ થયું હતું, જે કેસ નહોતું. તેમણે કહ્યું કે આખરે એક પેચ તેની પદ્ધતિ સેટ કરે છે, જેમાં વપરાશકર્તાના નામને ઇમેઇલ સરનામાંમાં રૂપાંતરિત કરવા માટે એચટીટીપી ક્લોઝિંગ પોઇન્ટનો ઉપયોગ કરવામાં આવ્યો હતો, પરંતુ 2025 ની શરૂઆત સુધી તે ફેરવવામાં આવ્યો ન હતો. બોબડાહેકરે કહ્યું કે તેણે લવેન્સની ટિપ્પણીની વિનંતી કરી છે, પરંતુ તે લેખન સમયે મળી નથી.

આ પહેલીવાર નથી જ્યારે લોવન્સ વપરાશકર્તાઓએ ગોપનીયતા ચિંતા બગ્સ પર ઠોકર ખાઈ છે. 2017 માં, એક રેડિટર જે વપરાશકર્તાઓને તેમના સેક્સ રમકડાંને દૂરસ્થ રીતે નિયંત્રિત કરવાની મંજૂરી આપે છે, તેમની સંમતિ વિના audio ડિઓ રેકોર્ડ કરે છે અને તેને તેના ફોન પર સાચવી રહ્યો છે. રેડડિટ પરના એક ટીકાકાર, જેમણે લવન્સના પ્રતિનિધિ હોવાનો દાવો કર્યો હતો, તેણે રેકોર્ડિંગને “માઇનોર સ software ફ્ટવેર બગ” તરીકે ઓળખાવ્યો હતો, જેણે એપ્લિકેશનના એન્ડ્રોઇડ સંસ્કરણને પ્રભાવિત કર્યું હતું અને તે સમયે કહ્યું હતું કે તે એક અપડેટમાં નિશ્ચિત છે.

આ લેખ મૂળરૂપે https://www.engadget.com/cyberesecurity/a-lovense-scurity-flaw-e-lighting- people-people-take-ઓવર-કાસ્ટ-સીક ounts ન્સ-ઇ-પાસવર્ડ-પાસવર્ડ-પાસવર્ડ-પાસવર્ડ-પાસવર્ડ -160528730.html? પરંતુ એન્ગેજેટ પર દેખાયો.

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here