去年10月,有安全研究人员发现,物联网chastity cage"贞操笼"(使用户可以将其放在丁丁周围以防止bo起的性玩具,通常用于BDSM群体(关于该群体请自行百度))存在漏洞,可以被黑客远程解锁。
而该API暴露在互联网,从而使黑客有机会通过互联网远程控制设备。
本来这是个漏洞,修复就好了,结果一直没修复,攻击还真的发生了。
一名黑客控制了与互联网相连的贞操笼,并要求以比特币支付赎金以解锁它。
根据安全研究人员获得的一段对话的屏幕截图,黑客告诉其中一名受害者说:“Your cock is mine now(你的丁丁现在已经是我的了)。”
一名受害者说,他从黑客那里收到一条消息,要求支付0.02比特币(约为750美元)来解锁设备。
他意识到自己的笼子绝对是“锁着的”,并且没法打开他。
这名受害者称:“幸运的是,这件事发生时,那个笼子并没有在他身上锁着。”
另一名受害者称,“我不再是笼子的主人了,在任何时刻我都无法完全控制笼子,”他从黑客那里收到消息,黑客说他们已经控制了笼子,并希望付款才能将其解锁。
该设备的中国制造商Qiui,未回应置评请求。
Pentest Partners的安全研究员Alex Lomas对Cellmate设备进行了审核,他证实了一些用户收到了勒索消息,并表示这突出了对更好安全措施的需求。
洛马斯在网上聊天中说:“几乎每家公司和产品在其生命周期中都会存在某种脆弱性。也许不像这一样糟糕,但有某些缺陷。” “重要的是,所有公司都必须有一种方法让研究人员与他们联系,并与他们保持联系。”
因此,二道在此提醒,用在自己身上的东西就别联网了,别哪天拿都拿不下来。
参考链接:
https://www.vice.com/en/article/m7apnn/your-cock-is-mine-now-hacker-locks-internet-connected-chastity-cage-demands-ransom
关于漏洞的详细说明
https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/?=october-5-2020
本文始发于微信公众号(二道情报贩子):黑客攻击连接互联网的情趣玩具以勒索赎金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论