漏洞暴露近一周才修復，某成人VR App可能泄露用戶信息

在供應商介入并修補安全漏洞之前，有關成人虛擬現實（VR）應用程序中兩個漏洞的詳細信息已經公布了五天。

Digital Interruption，一家英國的網絡安全公司發布的研究顯示

SinVR是一款基于網絡的服務，銷售以成人為主題的VR應用程序，其中包含兩個漏洞，允許攻擊者直接下載在該網站創建賬戶或者使用Paypal消費的用戶名字、郵件、設備信息。

研究院在沒有聯系到供應商之后披露該漏洞

Digital Interruption研究人員在1月10日發表的一篇博文中說：“最初我們計劃在漏洞修復后發布這篇文章，但經過多次嘗試后，我們無法聯系到SinVR公司。”

他補充道：“我們嘗試通過電子郵件聯系我們可以找到的地址，將私人消息發送到他們的（活動）reddit帳戶，并通過Twitter進行傳播。“由于發現的問題的性質嚴重，我們做出了一個棘手的決定，要把其中一個問題公開提醒公眾注意，警告用戶他們的數據沒有得到適當的保護。”

雖然研究人員沒有發布概念驗證代碼，但他們確實分享了編輯過的截圖，一個精明的攻擊者會明白如何利用自己的優勢。

在公開披露五天后修補安全漏洞

公開披露五天后，幾個小故事開始沖擊更大的新聞媒體，SinVR修補了它的服務漏洞。雖然金融機構的數據泄露通常純屬財務影響，但來自***的數據泄露會帶來更為深遠的后果。

例如，在約會網站Ashley Madison發生2015年違約事件之后，路易斯安娜州的一位牧師因為在該網站上有賬戶而被驅逐，最終結束了自己的生命。

Digital Interruption研究人員說，SinVR泄露的信息類型有可能“相當尷尬”，并且“不排除有用戶因此而被勒索的可能性”。

Bleeping Computer已經聯系到SinVR，并正式詢問該公司是否檢測到任何使用Digital Interruption報告的漏洞的用戶從其網站收集客戶數據。

SinVR發言人就此事提供以下陳述：

Digital Interruption在發布結果之前給了我們充分的警告，一旦向我們透露了問題，我們就立即解決。我們正在與他們聯系，他們證實，概述的安全漏洞已關閉。我們沒有發現任何證據表明有人利用這個漏洞收集我們客戶的數據。總的來說，這是一個巨大的學習經驗，這將有助于加強我們的安全，我們很高興它是道德的。展望未來，我們有信心防范安全漏洞，并將繼續使用專業安全服務來審計我們的系統。我們確保所有“后門”入侵都是完全自愿的。

*