根據(jù)外國科技媒體 Bleeping Computer 的報道，一名黑客使用勒索軟件控制了聯(lián)網(wǎng)的智能情趣用品（男性貞操鎖），并要求受害者使用比特幣支付贖金 (0.02 BTC) 以解鎖貞操鎖。

"Your cock is mine now"，安全研究人員 Smelly 獲得的對話截圖顯示黑客對受害者如此說到，Smelly 是收集惡意軟件樣本網(wǎng)站 vx-underground 的創(chuàng)始人。

據(jù)介紹，這款設備通過藍牙控制其鎖定/解鎖，藍牙通常由穿戴設備以外的其他人進行管理。去年10月，Pen Test Partners 研究人員公布了關于該設備的一個嚴重安全漏洞的細節(jié)，此漏洞允許遠程攻擊者控制任意聯(lián)網(wǎng)的該設備。他們發(fā)現(xiàn)，向任何 API 端點發(fā)出請求都不需要身份驗證，并且使用六位數(shù)的"friend code"（識別用戶的標記值）將返回有關該用戶的大量信息，例如位置、電話號碼和純文本密碼。

研究人員在其報告中寫道：“攻擊者只需幾天就可以滲入整個用戶數(shù)據(jù)庫，然后使用這些數(shù)據(jù)進行勒索攻擊或網(wǎng)絡釣魚�！�

攻擊事件出現(xiàn)后，vx-underground 創(chuàng)始人拿到了勒索軟件的源代碼。根據(jù)安全研究人員 Ax Sharma 的分析，這款惡意軟件包含與設備 API 端點進行通信的代碼，可用于枚舉用戶信息，并向受害應用發(fā)送消息和添加好友。

Bleeping Computer 提到，攻擊開始后不久，大量受害者投訴稱他們無法控制這款設備，其中一些人甚至多次成為攻擊者的目標。部分用戶擔心設備被鎖定后，要移除它只能支付贖金或者進行物理破壞。但考慮到敏感區(qū)域，對于受害者而言，物理破壞設備絕不是一個可行的選擇。

事實上，受害者可以聯(lián)系廠商要求他們遠程解鎖并重置設備，也有人表示只用螺絲刀就可以手動拆除設備。Bleeping Computer 了解到的消息稱，攻擊者表示沒人支付贖金。