সেক্স টয় সংস্থা লোভেন্স তার অ্যাপ্লিকেশন ব্যবহারকারীদের ইমেল ঠিকানাগুলি ফাঁস করছে এবং একটি পাসওয়ার্ড জিজ্ঞাসা না করে অ্যাকাউন্ট টেকওভারকে অনুমতি দিচ্ছে, একজন সুরক্ষা গবেষক জানিয়েছেন। হিসাবে রিপোর্ট ববডাহ্যাকার, যিনি তাদেরকে সুরক্ষার দুর্বলতাগুলি প্রকাশ ও প্রতিবেদন করার প্রতিশ্রুতিবদ্ধ নৈতিক হ্যাকার হিসাবে বর্ণনা করেছেন, একটি প্রকাশ করেছেন যার মধ্যে তারা লোভেন্সকে একটি গুরুতর বাগ ঠিক করতে ব্যর্থ হওয়ার অভিযোগ করেছে এটি 2023 সালে প্রথমে সচেতন করা হয়েছিল।
হ্যাকার অনুসারে (এবং পরে যাচাই করা হয়েছে টেকক্রাঞ্চ), লোভেন্স যে কোনও ব্যবহারকারীর নামকে ডান-জানার সাথে তাদের ইমেল ঠিকানায় পরিণত করার অনুমতি দেয়, এটি একটি ত্রুটি যা তারা প্রাথমিকভাবে অ্যাপ্লিকেশনটিতে কাউকে নিঃশব্দ করার পরে আবিষ্কার করেছিল। লোভেন্সের এপিআইতে তাদের অ্যাক্সেসের সাথে, তারা স্বয়ংক্রিয় স্ক্রিপ্টের মাধ্যমে পরিবর্তিত অনুরোধ প্রক্রিয়াটি চালানোর সময় এক সেকেন্ডেরও কম সময়ে যে কোনও পাবলিক ব্যবহারকারীর সাথে যুক্ত ইমেলগুলি পেতে সক্ষম হয়েছিল। তারা উল্লেখ করেছে যে এই অ্যাকাউন্টগুলির দুর্বল প্রকৃতি “বিশেষত ক্যাম মডেলগুলির জন্য খারাপ” যারা কাজের জন্য লাভেন্স প্ল্যাটফর্ম ব্যবহার করে এবং এই উদ্দেশ্যে তাদের ব্যবহারকারীর নামগুলি ভাগ করে নিতে পারে।
গবেষক আরও বুঝতে পেরেছিলেন যে কোনও ব্যবহারকারীর ইমেল ঠিকানা (হয় আপনি ইতিমধ্যে জানেন বা পূর্বোক্ত প্রকাশের বাগটি ব্যবহার করে প্রাপ্ত একজন), তারা এথ টোকেন তৈরি করতে পারে যা তাদের পাসওয়ার্ড ছাড়াই সম্পর্কিত অ্যাকাউন্টটি গ্রহণ করার অনুমতি দেয়। এটি লোভেন্স ক্রোম এক্সটেনশন এবং লোভেন্স কানেক্ট অ্যাপ্লিকেশন, পাশাপাশি সংস্থার CAM101 এবং স্ট্রিমমাস্টার সফ্টওয়্যার – এমনকি অ্যাডমিন অ্যাকাউন্টগুলির জন্য কাজ করেছে বলে অভিযোগ করেছে।
ববডাহ্যাকার বলেছিলেন 2025 সালের মার্চ মাসে, এবং হ্যাকেরোন সুরক্ষা প্ল্যাটফর্মের মাধ্যমে তাদের পতাকাঙ্কণের জন্য মোট $ 3,000 পেয়েছিল। প্রেমিক প্রতিনিধিদের সাথে একাধিক কথোপকথনের পরে, তাদের জুনের প্রথম দিকে বলা হয়েছিল যে অ্যাকাউন্ট টেকওভার বাগটি আগের মাসের মধ্যে স্থির করা হয়েছিল, যা গবেষকের দাবি সত্য নয়। ইমেল প্রকাশের ত্রুটি সম্পর্কে, লোভেন্স এ বলেছেন ববডাহ্যাকার দ্বারা মুদ্রিত যে সমস্যাটি সমাধান করতে 14 মাস পর্যন্ত সময় নিতে পারে, কারণ দ্রুত এক মাসের স্থিরতা “সমস্ত ব্যবহারকারীদের অবিলম্বে আপগ্রেড করতে বাধ্য করা প্রয়োজন,” যা এটি বলেছে যে “উত্তরাধিকার সংস্করণগুলির জন্য সমর্থন ব্যাহত করবে।”
গবেষক আরও বলেছিলেন যে তাদের সাথে একটি টুইটার ব্যবহারকারীর সাথে যোগাযোগ করা হয়েছিল যিনি দাবি করেছিলেন যে একই অ্যাকাউন্ট টেকওভার বাগটি ২০২৩ সালের মতো থেকে পাওয়া গেছে, এবং লোভেন্সের কাছে এটি রিপোর্ট করার পরপরই বলা হয়েছিল যে বাগটি সমাধান করা হয়েছে, যা ঘটনাটি ছিল না। তারা বলেছিল যে একটি প্যাচ অবশেষে তাদের পদ্ধতিটি স্থির করেছে, যা একটি ব্যবহারকারীর নামকে ইমেল ঠিকানায় রূপান্তর করতে একটি এইচটিটিপি এন্ডপয়েন্ট ব্যবহার করেছিল, তবে এটি ২০২৫ সালের প্রথম দিকে এটি চালু করা হয়নি। ববডাহ্যাকার বলেছিলেন যে তারা লাভেন্সের কাছ থেকে মন্তব্য করার জন্য অনুরোধ করেছিলেন তবে লেখার সময় এটি একটি পায়নি।
এই প্রথমবারের মতো লাভেন্স ব্যবহারকারীরা গোপনীয়তার উদ্বেগের বাগগুলিতে হোঁচট খেয়েছেন। 2017 সালে, একটি রেডডিটর যা লোভেন্স অ্যাপ্লিকেশন, যা ব্যবহারকারীদের তাদের যৌন খেলনাগুলি দূর থেকে নিয়ন্ত্রণ করতে দেয়, তাদের সম্মতি ছাড়াই অডিও রেকর্ড করে এবং তাদের ফোনে এটি সংরক্ষণ করে। রেডডিটের একজন মন্তব্যকারী যিনি একজন প্রেমময় প্রতিনিধি বলে দাবি করেছেন, রেকর্ডিংগুলিকে একটি “মাইনর সফটওয়্যার বাগ” বলে অভিহিত করেছেন যা অ্যাপটির অ্যান্ড্রয়েড সংস্করণকে প্রভাবিত করেছিল এবং সেই সময় বলেছিল যে এটি একটি আপডেটে স্থির করা হয়েছে।
