Sebuah laporan keamanan yang mengejutkan telah muncul mengungkap bagaimana produsen mainan dewasa Lovense diduga menyesatkan peneliti keamanan tentang perbaikan kerentanan kritis selama hampir dua tahun. Perusahaan ini dituduh mengklaim bahwa bug telah diselesaikan padahal masih aktif, menurunkan peringkat keparahan untuk mengurangi pembayaran, dan memperlakukan peneliti secara tidak konsisten dalam program bug bounty mereka.
Kerentanan Kritis Tetap Tidak Diperbaiki Meski Ada Klaim
Masalah keamanan berpusat pada dua masalah utama: pengungkapan email dan kerentanan pengambilalihan akun. Bug pengungkapan email memungkinkan siapa saja mengubah nama pengguna menjadi alamat email melalui manipulasi API, membutuhkan waktu sekitar 30 detik secara manual atau kurang dari satu detik dengan skrip otomatis. Hal ini menimbulkan risiko khusus bagi model cam yang membagikan nama pengguna secara publik tetapi ingin menjaga kerahasiaan email pribadi.
Yang lebih serius lagi adalah kerentanan pengambilalihan akun. Penyerang dapat menghasilkan token autentikasi hanya menggunakan alamat email, melewati persyaratan kata sandi sepenuhnya. Token ini berfungsi di berbagai platform Lovense termasuk Extension, Connect, StreamMaster, dan bahkan akun admin mereka.
Platform yang Terdampak:
- Lovense Extension
- Lovense Connect
- StreamMaster
- Cam4.ly
- Akun admin
- Sistem pesan XMPP
Pola Praktik Menipu Muncul
Komunitas teknologi telah menyatakan kemarahan atas apa yang tampaknya merupakan pola penipuan sistematis. Bukti menunjukkan bahwa bug pengambilalihan akun yang sama pertama kali dilaporkan pada September 2021, dengan Lovense mengklaim telah diperbaiki dalam dua minggu. Namun, kerentanan tersebut tetap aktif dan ditemukan kembali secara independen pada 2023.
Jenis perilaku seperti ini seharusnya membuat para pemimpin perusahaan didakwa secara pidana, ini adalah kelalaian yang disengaja.
Timeline mengungkap inkonsistensi yang meresahkan. Setelah awalnya menilai laporan 2021 sebagai keparahan tinggi, Lovense menurunkannya menjadi sedang tepat sebelum pembayaran, mengurangi hadiah dari potensi ribuan menjadi 350 dolar AS. Mereka membenarkan ini dengan mengklaim bahwa aplikasi yang terdampak sudah usang dengan sedikit pengguna, meskipun kerentanan mempengaruhi sistem saat ini.
Kronologi Masalah Keamanan:
- 4 September 2021: Bug pengambilalihan akun pertama dilaporkan di HackerOne (tingkat keparahan tinggi)
- 18 September 2021: Lovense menurunkan tingkat keparahan menjadi sedang, membayar $350 USD, mengklaim "sudah diperbaiki"
- 2023: Kerentanan yang sama ditemukan kembali secara independen oleh peneliti yang berbeda
- 28 Juli 2023: Kerentanan pengungkapan email masih berfungsi meskipun ada klaim dari perusahaan
 |
|---|
| Postingan blog ini merinci masalah yang sedang berlangsung dengan penanganan Lovense terhadap kerentanan keamanan kritis, menyoroti kekhawatiran para peneliti |
Dampak Industri dan Kekhawatiran Kepercayaan
Para ahli keamanan khawatir perilaku ini merusak seluruh ekosistem pengungkapan yang bertanggung jawab. Ketika perusahaan berbohong tentang perbaikan dan memanipulasi peringkat keparahan, hal ini mencegah peneliti melaporkan kerentanan secara pribadi. Ini dapat mendorong profesional keamanan menuju pengungkapan publik atau menjual eksploit di pasar abu-abu alih-alih bekerja dengan perusahaan untuk memperbaiki masalah.
Kasus ini menarik perhatian khusus karena sifat sensitif produk yang terlibat. Pengguna mainan dewasa yang terhubung internet memiliki ekspektasi privasi yang tinggi, membuat pelanggaran keamanan sangat merugikan. Kemampuan untuk mengambil alih akun atau mengekspos email pribadi dapat memungkinkan stalking atau pelecehan.
Respons Perusahaan Diperdebatkan
Lovense dilaporkan mengatakan kepada jurnalis bahwa kerentanan telah sepenuhnya diperbaiki pada akhir Juni 2023. Namun, peneliti mengklaim telah berhasil menguji bug pengungkapan email hingga 28 Juli 2023, menunjukkan bahwa perusahaan mungkin terus salah menyajikan situasi kepada outlet media.
Insiden ini menyoroti pertanyaan yang lebih luas tentang akuntabilitas di ruang Internet of Things, di mana perangkat terhubung sering menangani data pribadi yang intim tetapi mungkin kekurangan pengawasan keamanan yang kuat.
Referensi: Lovense: The Company That Lies to Security Researchers