用户数据在公开披露五天后SinVR才修补安全漏洞

漏洞暴露近一周才修复，某成人VR App可能泄露用户信息

在供应商介入并修补安全漏洞之前，有关成人虚拟现实（VR）应用程序中两个漏洞的详细信息已经公布了五天。

Digital Interruption，一家英国的网络安全公司发布的研究显示

SinVR是一款基于网络的服务，销售以成人为主题的VR应用程序，其中包含两个漏洞，允许攻击者直接下载在该网站创建账户或者使用Paypal消费的用户名字、邮件、设备信息。

研究院在没有联系到供应商之后披露该漏洞

Digital Interruption研究人员在1月10日发表的一篇博文中说：“最初我们计划在漏洞修复后发布这篇文章，但经过多次尝试后，我们无法联系到SinVR公司。”

他补充道：“我们尝试通过电子邮件联系我们可以找到的地址，将私人消息发送到他们的（活动）reddit帐户，并通过Twitter进行传播。“由于发现的问题的性质严重，我们做出了一个棘手的决定，要把其中一个问题公开提醒公众注意，警告用户他们的数据没有得到适当的保护。”

虽然研究人员没有发布概念验证代码，但他们确实分享了编辑过的截图，一个精明的攻击者会明白如何利用自己的优势。

在公开披露五天后修补安全漏洞

公开披露五天后，几个小故事开始冲击更大的新闻媒体，SinVR修补了它的服务漏洞。虽然金融机构的数据泄露通常纯属财务影响，但来自成人网站的数据泄露会带来更为深远的后果。

例如，在约会网站Ashley Madison发生2015年违约事件之后，路易斯安娜州的一位牧师因为在该网站上有账户而被驱逐，最终结束了自己的生命。

Digital Interruption研究人员说，SinVR泄露的信息类型有可能“相当尴尬”，并且“不排除有用户因此而被勒索的可能性”。

Bleeping Computer已经联系到SinVR，并正式询问该公司是否检测到任何使用Digital Interruption报告的漏洞的用户从其网站收集客户数据。

SinVR发言人就此事提供以下陈述：

Digital Interruption在发布结果之前给了我们充分的警告，一旦向我们透露了问题，我们就立即解决。我们正在与他们联系，他们证实，概述的安全漏洞已关闭。我们没有发现任何证据表明有人利用这个漏洞收集我们客户的数据。总的来说，这是一个巨大的学习经验，这将有助于加强我们的安全，我们很高兴它是道德的。展望未来，我们有信心防范安全漏洞，并将继续使用专业安全服务来审计我们的系统。我们确保所有“后门”入侵都是完全自愿的。

*