漏洞暴露近一周才修復(fù)，某成人VR App可能泄露用戶信息

在供應(yīng)商介入并修補(bǔ)安全漏洞之前，有關(guān)成人虛擬現(xiàn)實(shí)（VR）應(yīng)用程序中兩個(gè)漏洞的詳細(xì)信息已經(jīng)公布了五天。

Digital Interruption，一家英國的網(wǎng)絡(luò)安全公司發(fā)布的研究顯示

SinVR是一款基于網(wǎng)絡(luò)的服務(wù)，銷售以成人為主題的VR應(yīng)用程序，其中包含兩個(gè)漏洞，允許攻擊者直接下載在該網(wǎng)站創(chuàng)建賬戶或者使用Paypal消費(fèi)的用戶名字、郵件、設(shè)備信息。

研究院在沒有聯(lián)系到供應(yīng)商之后披露該漏洞

Digital Interruption研究人員在1月10日發(fā)表的一篇博文中說：“最初我們計(jì)劃在漏洞修復(fù)后發(fā)布這篇文章，但經(jīng)過多次嘗試后，我們無法聯(lián)系到SinVR公司。”

他補(bǔ)充道：“我們嘗試通過電子郵件聯(lián)系我們可以找到的地址，將私人消息發(fā)送到他們的（活動）reddit帳戶，并通過Twitter進(jìn)行傳播。“由于發(fā)現(xiàn)的問題的性質(zhì)嚴(yán)重，我們做出了一個(gè)棘手的決定，要把其中一個(gè)問題公開提醒公眾注意，警告用戶他們的數(shù)據(jù)沒有得到適當(dāng)?shù)谋Ｗo(hù)。”

雖然研究人員沒有發(fā)布概念驗(yàn)證代碼，但他們確實(shí)分享了編輯過的截圖，一個(gè)精明的攻擊者會明白如何利用自己的優(yōu)勢。

在公開披露五天后修補(bǔ)安全漏洞

公開披露五天后，幾個(gè)小故事開始沖擊更大的新聞媒體，SinVR修補(bǔ)了它的服務(wù)漏洞。雖然金融機(jī)構(gòu)的數(shù)據(jù)泄露通常純屬財(cái)務(wù)影響，但來自***的數(shù)據(jù)泄露會帶來更為深遠(yuǎn)的后果。

例如，在約會網(wǎng)站Ashley Madison發(fā)生2015年違約事件之后，路易斯安娜州的一位牧師因?yàn)樵谠摼W(wǎng)站上有賬戶而被驅(qū)逐，最終結(jié)束了自己的生命。

Digital Interruption研究人員說，SinVR泄露的信息類型有可能“相當(dāng)尷尬”，并且“不排除有用戶因此而被勒索的可能性”。

Bleeping Computer已經(jīng)聯(lián)系到SinVR，并正式詢問該公司是否檢測到任何使用Digital Interruption報(bào)告的漏洞的用戶從其網(wǎng)站收集客戶數(shù)據(jù)。

SinVR發(fā)言人就此事提供以下陳述：

Digital Interruption在發(fā)布結(jié)果之前給了我們充分的警告，一旦向我們透露了問題，我們就立即解決。我們正在與他們聯(lián)系，他們證實(shí)，概述的安全漏洞已關(guān)閉。我們沒有發(fā)現(xiàn)任何證據(jù)表明有人利用這個(gè)漏洞收集我們客戶的數(shù)據(jù)。總的來說，這是一個(gè)巨大的學(xué)習(xí)經(jīng)驗(yàn)，這將有助于加強(qiáng)我們的安全，我們很高興它是道德的。展望未來，我們有信心防范安全漏洞，并將繼續(xù)使用專業(yè)安全服務(wù)來審計(jì)我們的系統(tǒng)。我們確保所有“后門”入侵都是完全自愿的。

*