《我真得控制你了》-厂商和白帽扯皮，披露了远程控制性玩具漏洞细节

下午起床看到一篇新闻：

出于好奇和控制群友的想法上网找了相关资料，发现事情不只是披露了一个性玩具漏洞那么简单，据漏洞披露者bobdahacker的文章里面不仅披露了该漏洞的细节，还和我们国内一样写了小作文控诉厂商。

为了方便理解，以下内容将bobdahacker的博文内容做一次梳理和简化，有需要阅读原文或者和我一样获取漏洞细节用于控制群友的师傅请前往文末获取原文链接。

2025年3月26日，bobdahacker提交漏洞报告到lovense。

2025年3月27日，lovense确认漏洞，28日，bobdahacker提交漏洞到hackone。

2025年4月8日，lovense对bobdahacker提交的两个漏洞分别做如下回应：

邮箱泄露：已经为人所知并在新版本中修复”（尚未发布），赏金1000美元，帐户接管：将其从严重降级为高，称它“不涉及数据库访问”，赏金1000美元。

2025年4月9日，bobdahacker补充说明账户接管漏洞可以接管包括管理员在内的任何帐户，lovense将其提升为严重，此漏洞赏金3000美元

5月30日bobdahacker告知lovense漏洞并未修复，6月4日lovense回复称账户接管已在4月7日修复（实则并没有修），邮件泄露需要14个月来修复，有更快的一个月修复的方案，但不采用，因为会使旧版本无法使用。

时至今日，这两个漏洞依然没有修复，于是bobdahacker披露了漏洞细节，原文中详细说明了相关细节：

更有意思的事来了，在披露漏洞之后，有另两位白帽Krissy和SkeletalDemise联系上bobdahacker，说他们俩在2023年9月就已经发现了这个账户接管漏洞，并且还发现了一个api：

/api/getUserNameByEmailV2

可以直接将用户名转为邮箱，完全不需要bobdahacker所披露的复杂步骤。

Krissy提交漏洞的处理比bobdahacker还要搞笑，2023年9月4日Krissy提交漏洞，初审为高，9月28日lovense要降级，从高降为中，只给350美元，理由是“PC程序已被弃用，用户量不多”，当天就把漏洞改成已修复，2024年8月Krissy申请披露细节，lovense无视了他，直接关闭了漏洞工单。

在bobdahacker的事情发酵之后，Krissy要求重新评估赏金，因为同样的漏洞，2023年只给他350美元，2025年却给了3000美元。

bobdahacker还发现早在2018年就有一位叫Panther的白帽发现了与bobdahacker手法相同的邮箱泄露，但当时lovense直接忽略了。

今天，bobdahacker又更新了文章，称lovense通过虚假修复、造谣漏洞利用难度、欺骗客户漏洞影响不大等手段降低影响，并且6月17日lovense同意了bobdahacker的披露细节申请。

结果现在lovense反手举报到hackone，说bobdahacker的披露违反了hackone的规则，要求48小时内删除所有相关内容。

原文链接：

https://bobdahacker.com/blog/lovense-still-leaking-user-emails

我总觉得这厂商的手法怎么都似曾相识，降低危害，虚空修复，要求删文......我艹这不是我们国内厂商的手法吗，下次使用记得标明出处。