漏洞暴露近一周才修復，某成人VR App可能泄露用戶信息

原標題：漏洞暴露近一周才修復，某成人VR App可能泄露用戶信息

在供應商介入並修補安全漏洞之前，有關成人虛擬現實（VR）應用程序中兩個漏洞的詳細信息已經公布了五天。

Digital Interruption，一家英國的網路安全公司發布的研究顯示

SinVR是一款基於網路的服務，銷售以成人為主題的VR應用程序，其中包含兩個漏洞，允許攻擊者直接下載在該網站創建賬戶或者使用Paypal消費的用戶名字、郵件、設備信息。

研究院在沒有聯繫到供應商之後披露該漏洞

Digital Interruption研究人員在1月10日發表的一篇博文中說：「最初我們計劃在漏洞修復後發布這篇文章，但經過多次嘗試後，我們無法聯繫到SinVR公司。」

他補充道：「我們嘗試通過電子郵件聯繫我們可以找到的地址，將私人消息發送到他們的（活動）reddit帳戶，並通過Twitter進行傳播。「由於發現的問題的性質嚴重，我們做出了一個棘手的決定，要把其中一個問題公開提醒公眾注意，警告用戶他們的數據沒有得到適當的保護。」

雖然研究人員沒有發布概念驗證代碼，但他們確實分享了編輯過的截圖，一個精明的攻擊者會明白如何利用自己的優勢。

在公開披露五天後修補安全漏洞

公開披露五天後，幾個小故事開始衝擊更大的新聞媒體，SinVR修補了它的服務漏洞。雖然金融機構的數據泄露通常純屬財務影響，但來自成人網站的數據泄露會帶來更為深遠的後果。

例如，在約會網站Ashley Madison發生2015年違約事件之後，路易斯安娜州的一位牧師因為在該網站上有賬戶而被驅逐，最終結束了自己的生命。

Digital Interruption研究人員說，SinVR泄露的信息類型有可能「相當尷尬」，並且「不排除有用戶因此而被勒索的可能性」。

Bleeping Computer已經聯繫到SinVR，並正式詢問該公司是否檢測到任何使用Digital Interruption報告的漏洞的用戶從其網站收集客戶數據。

SinVR發言人就此事提供以下陳述：

Digital Interruption在發布結果之前給了我們充分的警告，一旦向我們透露了問題，我們就立即解決。我們正在與他們聯繫，他們證實，概述的安全漏洞已關閉。我們沒有發現任何證據表明有人利用這個漏洞收集我們客戶的數據。總的來說，這是一個巨大的學習經驗，這將有助於加強我們的安全，我們很高興它是道德的。展望未來，我們有信心防範安全漏洞，並將繼續使用專業安全服務來審計我們的系統。我們確保所有「後門」入侵都是完全自願的。

*參考來源：BleepingComputer，FB小編Andy編譯，轉載請註明laiziFreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！