Forwarded from Kaspersky
🧨 Уязвимости восьмилетней выдержки в приложениях для секс-игрушек 🤯
Мы уже рассказывали об уязвимостях в самых разных устройствах, от кормушек для животных до роботов-пылесосов, но в этот раз приготовили для вас самую, пожалуй, необычную и пикантную историю. Дело в том, что исследователи нашли уязвимости в приложениях для управления интимными игрушками Lovense.
Исследователи выяснили, что:
🕳 При любом взаимодействии между пользователями на сервер отправляется API-запрос, где для идентификации обоих используются не анонимизированные ID, а электронная почта. Проанализировав собственный трафик, кто угодно мог узнать адреса других пользователей.
⚠️ Для генерации токена аутентификации в приложении Lovense Connect было достаточно как раз почты пользователя. То есть подготовленный человек, воспользовавшись первой уязвимостью, мог захватить любой аккаунт.
😯 Компания Lovense была в курсе уязвимостей в течение минимум ВОСЬМИ лет и не делала ровным счётом ничего, чтобы их ликвидировать.
Вы, возможно, недоумеваете, какую выгоду из всего этого могут извлечь киберпреступники? Дело в том, что продукция Lovense ориентирована во многом на вебкам-моделей и их зрителей, позволяя вторымудалённо взаимодействовать с первыми. Собственно, социальные функции в приложениях есть не в последнюю очередь из-за этого. А любая уязвимость в таких программах, связанная с личными данными, открывает массу возможностей для шантажа, доксинга и сталкинга.
Подробно о том, как вскрылась скандальная правда, мы рассказываем в блоге. А также даём рекомендации, как обезопасить себя от утечки персональных данных.
Мы уже рассказывали об уязвимостях в самых разных устройствах, от кормушек для животных до роботов-пылесосов, но в этот раз приготовили для вас самую, пожалуй, необычную и пикантную историю. Дело в том, что исследователи нашли уязвимости в приложениях для управления интимными игрушками Lovense.
Исследователи выяснили, что:
🕳 При любом взаимодействии между пользователями на сервер отправляется API-запрос, где для идентификации обоих используются не анонимизированные ID, а электронная почта. Проанализировав собственный трафик, кто угодно мог узнать адреса других пользователей.
⚠️ Для генерации токена аутентификации в приложении Lovense Connect было достаточно как раз почты пользователя. То есть подготовленный человек, воспользовавшись первой уязвимостью, мог захватить любой аккаунт.
😯 Компания Lovense была в курсе уязвимостей в течение минимум ВОСЬМИ лет и не делала ровным счётом ничего, чтобы их ликвидировать.
Вы, возможно, недоумеваете, какую выгоду из всего этого могут извлечь киберпреступники? Дело в том, что продукция Lovense ориентирована во многом на вебкам-моделей и их зрителей, позволяя вторым
Подробно о том, как вскрылась скандальная правда, мы рассказываем в блоге. А также даём рекомендации, как обезопасить себя от утечки персональных данных.
🤔1🤯1
Обязательно включите, мои дорогие подписчики, с телефонными номерами РФ.
А то как вы меня читать будете, если вдруг что? 🌚
#repost
А то как вы меня читать будете, если вдруг что? 🌚
#repost
Forwarded from PRO Hi-Tech
Теперь в Telegram можно авторизоваться через электронную почту. Сделана эта фича была на фоне новостей о возможных сбоях при отправке кодов в смс. Привязать почту можно в Настройках: Конфиденциальность - Почта для входа.
Forwarded from Kaspersky
Семён Корт, ведущий аналитик по информационной безопасности и автор книги по теоретическим основам ИБ, расскажет:
Когда: 13 ноября в 14:00, четверг
Где: Музей космонавтики (Москва, Проспект Мира, 111), кинозал
Вход на лекцию — по билету в музей и предварительной регистрации по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1🤯1
Telegram
PRO Hi-Tech
Российская компания Neiry представила PJN-1 — голубя-биодрона, совмещающего живую птицу и нейроинтерфейс для дистанционного мониторинга. В мозг птицы имплантированы электроды, а на спине закреплён рюкзачок с электроникой и солнечными батареями. Разработчики…
Я не знаю, какие теги к этой новости использовать? #irl? #science? #hitech? #будущееужездесь? #birdsarenotreal?
В любом случае, это круто, и от этой конторы я давно хотел себе прикупить одну хреновину, но всё жаба душила.
UPD: Собственно новость на сайте Neiry: https://neiry.ru/news/tpost/h76nygaa01-neiry-predstavlyaet-ptits-biodronov
Источник: https://news.1rj.ru/str/prohitec/10539
В любом случае, это круто, и от этой конторы я давно хотел себе прикупить одну хреновину, но всё жаба душила.
UPD: Собственно новость на сайте Neiry: https://neiry.ru/news/tpost/h76nygaa01-neiry-predstavlyaet-ptits-biodronov
Источник: https://news.1rj.ru/str/prohitec/10539
🌚1👀1
Forwarded from Технологический Болт Генона
У некоторых пользователей «Госуслуг» при авторизации пропала возможность пропустить скачивание мессенджера MAX. При входе в аккаунт через мобильную версию браузера сервис требует установить приложение, и избежать этого больше нельзя. На это жалуются интернет-пользователи из разных городов России в соцсетях.
https://www.e1.ru/text/world/2025/12/05/76158102/
Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.
Варианты второго фактора защиты
- с помощью одноразового кода в мессенджере МАХ
- с помощью одноразового кода из специального приложения
- по биометрии
- СМС — только для пользователей десктопной версии Госуслуг
https://digital.gov.ru/official-position/vhod-v-prilozhenie-gosuslugi-mozhno-podtverdit-raznymi-sposobami
Спасибо
https://www.e1.ru/text/world/2025/12/05/76158102/
Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.
Варианты второго фактора защиты
- с помощью одноразового кода в мессенджере МАХ
- с помощью одноразового кода из специального приложения
- по биометрии
- СМС — только для пользователей десктопной версии Госуслуг
https://digital.gov.ru/official-position/vhod-v-prilozhenie-gosuslugi-mozhno-podtverdit-raznymi-sposobami
Спасибо
👍1
Forwarded from Технологический Болт Генона
Технологический Болт Генона
У некоторых пользователей «Госуслуг» при авторизации пропала возможность пропустить скачивание мессенджера MAX. При входе в аккаунт через мобильную версию браузера сервис требует установить приложение, и избежать этого больше нельзя. На это жалуются интернет…
Вторым фактором для Госуслуг может быть TOTP
По коду TOTP
- Установите приложение для работы с одноразовым кодом (TOTP): для iOS, Android или HarmonyOS. Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится
- В личном кабинете откройте: Профиль → Безопасность → Вход в систему
- Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить
- Откройте на телефоне приложение для работы с одноразовым кодом
- В приложении отсканируйте QR‑код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться
- Введите на Госуслугах одноразовый код из приложения
https://www.gosuslugi.ru/help/faq/login/101923
Тогда никакой MAX требовать не будет
По коду TOTP
- Установите приложение для работы с одноразовым кодом (TOTP): для iOS, Android или HarmonyOS. Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится
- В личном кабинете откройте: Профиль → Безопасность → Вход в систему
- Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить
- Откройте на телефоне приложение для работы с одноразовым кодом
- В приложении отсканируйте QR‑код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться
- Введите на Госуслугах одноразовый код из приложения
https://www.gosuslugi.ru/help/faq/login/101923
Тогда никакой MAX требовать не будет
👍2
Технологический Болт Генона
Вторым фактором для Госуслуг может быть TOTP По коду TOTP - Установите приложение для работы с одноразовым кодом (TOTP): для iOS, Android или HarmonyOS. Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти…
Ну и попутно, какое приложение для TOTP я могу порекомендовать? Конечно Kaspersky Password Manager. Да, у него есть проблемы, и не одна, но в принципе оно оч даже юзабельно
🍹 ☝️
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🤔1