सुरक्षा खामी स्मार्ट चैस्टिटी केज निर्माता के उपयोगकर्ताओं के ईमेल, पासवर्ड को उजागर करती है
नई दिल्ली: एक सुरक्षा शोधकर्ता ने एक कंपनी में गंभीर कमजोरियों की खोज की है जो पुरुषों के लिए एक इंटरनेट-नियंत्रित शुद्धता उपकरण बनाती है जो उपयोगकर्ताओं के ईमेल पते, प्लेनटेक्स्ट पासवर्ड, घर के पते, आईपी पते और – कुछ मामलों में – जीपीएस निर्देशांक को उजागर करती है।
टेकक्रंच के अनुसार, शोधकर्ता ने दो कमजोरियों का उपयोग करके 10,000 से अधिक उपयोगकर्ताओं के रिकॉर्ड वाले डेटाबेस तक पहुंच प्राप्त की। शोधकर्ता ने यह देखने के लिए बग का उपयोग किया कि उसे किस डेटा तक पहुंच मिल सकती है। (यह भी पढ़ें: अजीब: सुरक्षा तार चबाकर महिला ने चुराया iPhone 14; वीडियो हुआ वायरल – देखें)
इसके अतिरिक्त, शोधकर्ता ने 17 जून को कंपनी को कमजोरियों के बारे में सूचित किया, और उनसे उन्हें ठीक करने और अपने उपयोगकर्ताओं की सुरक्षा करने का आग्रह किया। रिपोर्ट में बताया गया है कि फिलहाल, कंपनी ने कमजोरियों का समाधान नहीं किया है। (यह भी पढ़ें: क्या आपका UPI भुगतान अटक गया है या विफल हो गया है? अपने लेन-देन को पूरा करने के लिए इन सिद्ध युक्तियों की जाँच करें)
शोधकर्ता के हवाले से कहा गया, “हर चीज का शोषण करना बहुत आसान है। और यह गैर-जिम्मेदाराना है। इसलिए मेरी सबसे अच्छी उम्मीद है कि वे आपसे या मुझसे संपर्क करेंगे और सब कुछ ठीक कर देंगे।”
इसके अलावा, शोधकर्ता ने कंपनी और उसके उपयोगकर्ताओं को चेतावनी देने के प्रयास में कंपनी के मुखपृष्ठ को विकृत कर दिया।
“साइट को एक परोपकारी तृतीय पक्ष द्वारा अक्षम कर दिया गया था। (REDACTED) ने साइट को पूरी तरह से खुला छोड़ दिया है, जिससे किसी भी स्क्रिप्ट किडी को किसी भी और सभी ग्राहक जानकारी प्राप्त करने की अनुमति मिल गई है। इसमें प्लेनटेक्स्ट पासवर्ड और (REDACTED) के दावे के विपरीत, शिपिंग पते भी शामिल हैं। आपका स्वागत है!” शोधकर्ता ने लिखा.
“यदि आपने किसी भौतिक इकाई के लिए भुगतान किया है और अब इसका उपयोग नहीं कर सकते, तो मुझे खेद है। लेकिन यहां हजारों लोगों के खाते हैं और मैं अच्छे विश्वास के साथ सब कुछ छोड़ नहीं सकता,” इसमें कहा गया है।
कंपनी ने शोधकर्ता की चेतावनी हटा दी और 24 घंटे से भी कम समय में वेबसाइट को बहाल कर दिया। हालाँकि, कंपनी ने उन खामियों पर ध्यान नहीं दिया, जो अभी भी मौजूद हैं और शोषण योग्य हैं, रिपोर्ट में कहा गया है।
शोधकर्ताओं को उपयोगकर्ताओं के डेटाबेस तक पहुंच की अनुमति देने वाली खामियों के अलावा, यह पता चला कि कंपनी की वेबसाइट उपयोगकर्ताओं के पेपैल भुगतान के लॉग को उजागर करती है। रिपोर्ट के अनुसार, लॉग उपयोगकर्ताओं के पेपैल ईमेल पते के साथ-साथ उनके भुगतान की तारीख भी दिखाते हैं।
कंपनी के चैस्टिटी डिवाइस को एक एंड्रॉइड ऐप के माध्यम से एक भागीदार द्वारा नियंत्रित करने का इरादा है। सटीक जीपीएस निर्देशांक प्रसारित करके, ऐप भागीदारों को डिवाइस पहनने वाले की गतिविधियों को ट्रैक करने की अनुमति देता है।
