La aplicación de realidad virtual para adultos SinVR expuso los nombres y correos electrónicos de miles de usuarios

Actualización: SinVR dice que solucionó el problema que destacó la empresa de seguridad Digital Interruption:

La aplicación de realidad virtual para adultos SinVR expuso los nombres y correos electrónicos de miles de usuarios

“Digital Interruption nos dio una amplia advertencia antes de publicar su hallazgo y solucionamos el problema tan pronto como se nos reveló”, dijo un portavoz de la compañía a Alphr. “Estamos en contacto con ellos y confirmaron que el agujero de seguridad señalado estaba cerrado. En conjunto, ha sido una gran experiencia de aprendizaje, que servirá para mejorar nuestra seguridad y nos complace que se haya llevado a cabo de manera ética.

“En el futuro, confiamos en nuestra capacidad para detener ataques similares y seguiremos utilizando un servicio de seguridad profesional para auditar nuestro sistema. Nos estamos asegurando de que todas las intrusiones de ‘puerta trasera’ sean totalmente consensuales”.

Digital Interruption confirmó la solución en un tweet:

La historia original continúa a continuación:

Alrededor de 20,000 personas han visto sus datos expuestos luego de una fuga de seguridad en la aplicación de realidad virtual para adultos SinVR.

SinVR es un juego pornográfico de realidad virtual que ofrece a los usuarios su propia “mazmorra privada”. Como Libro mayor de seguridad informes, decenas de miles de registros de clientes fueron descubiertos por la empresa de seguridad del Reino Unido Interrupción Digital, que encontró una vulnerabilidad de alto riesgo en la aplicación SinVR. Esto llevó a los piratas informáticos éticos a los nombres, las direcciones de correo electrónico y los nombres de los dispositivos de todos los que tenían una cuenta de SinVR, así como a todos los que pagaron por el contenido mediante PayPal.

“Un atacante no solo podría usar esto para realizar ataques de ingeniería social, sino que, debido a la naturaleza de la aplicación, es potencialmente bastante vergonzoso que se filtren detalles como este”, escribe Digital Interruption en un entrada en el blog. “No está fuera del ámbito de la posibilidad que algunos usuarios puedan ser chantajeados con esta información.

sinvr_website

(Crédito: SinVR)

LEER SIGUIENTE – Más allá de Pornhub: Los rebeldes sexuales reclaman películas para adultos

Digital Interruption descubrió la vulnerabilidad como parte de una encuesta de sitios web para adultos. El equipo realizó ingeniería inversa de la aplicación de escritorio SinVR y se encontró con la función discretamente llamada “descargar todos los clientes”. La función no se podía habilitar desde la propia aplicación, pero al observar cómo funcionaba la API web, los investigadores la activaron manualmente.

Después de frustrarse en sus intentos de contactar a la empresa matriz de SinVR, InVR Inc, los investigadores dieron el paso de hacer públicos sus hallazgos, lo que hicieron la semana pasada, aunque no sin censurar los detalles personales en sus capturas de pantalla. Afirman que sería posible que un atacante descargue una lista completa de usuarios de SinVR, aunque los detalles de la contraseña y la tarjeta de crédito no forman parte del volcado de datos.

pecador

(Arriba: imagen censurada de datos filtrados obtenidos por Digital Disruption. Crédito: Digital Interruption)

Los usuarios de un sitio como SinVR pueden ser pequeños en comparación con los del sitio de citas de infidelidad Ashley Madison, que fue violado en 2015, pero, como señala Digital Interruption, un atacante podría usar de manera similar la naturaleza sensible de la aplicación para chantajear.

SinVR ha confirmado que el problema ya está solucionado y elogia el trabajo de Digitial Interruption: “En conjunto, ha sido una gran experiencia de aprendizaje, que servirá para mejorar nuestra seguridad y estamos contentos de que se haya llevado a cabo de manera ética”, dijo un portavoz de la aplicación. .