漏洞暴露近一周才修復，某成人VR App可能泄露用戶信息

在供應商介入并修補安全漏洞之前，有關成人虛擬現(xiàn)實（VR）應用程序中兩個漏洞的詳細信息已經(jīng)公布了五天。

Digital Interruption，一家英國的網(wǎng)絡安全公司發(fā)布的研究顯示

SinVR是一款基于網(wǎng)絡的服務，銷售以成人為主題的VR應用程序，其中包含兩個漏洞，允許攻擊者直接下載在該網(wǎng)站創(chuàng)建賬戶或者使用Paypal消費的用戶名字、郵件、設備信息。

研究院在沒有聯(lián)系到供應商之后披露該漏洞

Digital Interruption研究人員在1月10日發(fā)表的一篇博文中說：“最初我們計劃在漏洞修復后發(fā)布這篇文章，但經(jīng)過多次嘗試后，我們無法聯(lián)系到SinVR公司?！?/p>

他補充道：“我們嘗試通過電子郵件聯(lián)系我們可以找到的地址，將私人消息發(fā)送到他們的（活動）reddit帳戶，并通過Twitter進行傳播?！坝捎诎l(fā)現(xiàn)的問題的性質(zhì)嚴重，我們做出了一個棘手的決定，要把其中一個問題公開提醒公眾注意，警告用戶他們的數(shù)據(jù)沒有得到適當?shù)谋Ｗo。”

雖然研究人員沒有發(fā)布概念驗證代碼，但他們確實分享了編輯過的截圖，一個精明的攻擊者會明白如何利用自己的優(yōu)勢。

在公開披露五天后修補安全漏洞

公開披露五天后，幾個小故事開始沖擊更大的新聞媒體，SinVR修補了它的服務漏洞。雖然金融機構(gòu)的數(shù)據(jù)泄露通常純屬財務影響，但來自***的數(shù)據(jù)泄露會帶來更為深遠的后果。

例如，在約會網(wǎng)站Ashley Madison發(fā)生2015年違約事件之后，路易斯安娜州的一位牧師因為在該網(wǎng)站上有賬戶而被驅(qū)逐，最終結(jié)束了自己的生命。

Digital Interruption研究人員說，SinVR泄露的信息類型有可能“相當尷尬”，并且“不排除有用戶因此而被勒索的可能性”。

Bleeping Computer已經(jīng)聯(lián)系到SinVR，并正式詢問該公司是否檢測到任何使用Digital Interruption報告的漏洞的用戶從其網(wǎng)站收集客戶數(shù)據(jù)。

SinVR發(fā)言人就此事提供以下陳述：

Digital Interruption在發(fā)布結(jié)果之前給了我們充分的警告，一旦向我們透露了問題，我們就立即解決。我們正在與他們聯(lián)系，他們證實，概述的安全漏洞已關閉。我們沒有發(fā)現(xiàn)任何證據(jù)表明有人利用這個漏洞收集我們客戶的數(shù)據(jù)?？偟膩碚f，這是一個巨大的學習經(jīng)驗，這將有助于加強我們的安全，我們很高興它是道德的。展望未來，我們有信心防范安全漏洞，并將繼續(xù)使用專業(yè)安全服務來審計我們的系統(tǒng)。我們確保所有“后門”入侵都是完全自愿的。

*