A Sex Toy Company Lovense kiszivárogtatja az alkalmazásfelhasználók e -mail címeit, és engedélyezi a fiókok átvételét anélkül, hogy jelszót kérne, egy biztonsági kutató szerint. A TechCrunch szerint Bobdahacker, aki etikai hackereknek írja le magát, aki elkötelezte magát a biztonsági rések feltárása és jelentése mellett, széles körű jelentést tett közzé, amelyben azt vádolják, hogy Lovense -t nem sikerült kijavítani egy komoly hibát, amelyet először 2023 -ban tudtak meg.
A hacker (és később a TechCrunch által ellenőrizte) szerint a Lovense lehetővé teszi minden felhasználónevet e-mail címükre a megfelelő know-how-val, egy olyan hibát, amelyet eredetileg felfedeztek, miután valaki az alkalmazásban elnémította. A Lovense API -hoz való hozzáférésük révén kevesebb, mint egy másodperc alatt megszerezték a nyilvános felhasználónévhez kapcsolódó e -maileket, amikor a módosított kérési folyamatot automatizált szkript segítségével futtatják. Megjegyezték, hogy ezeknek a beszámolóknak a kiszolgáltatott jellege “különösen rossz a CAM modellek számára”, akik a Lovense platformot használják munkára, és megoszthatják felhasználóneveiket ezekre a célokra.
A kutató azt is rájött, hogy a felhasználó e -mail címével (akár már ismeri, akár egy, vagy a fent említett közzétételi hibával szerezték be), olyan Auth tokeneket generálhatnak, amelyek lehetővé tették számukra, hogy jelszó nélkül átvegyék a kapcsolódó fiókot. Ez állítólag a Lovense Chrome Extension és a Lovense Connect alkalmazásban, valamint a cég CAM101 és Streammaster szoftverének – sőt adminisztrátori fiókoknak is működött.
Bobdahacker elmondta, hogy kezdetben beszámoltak a Bugs -nak a Lovense -nek a Sex Tech Hacking projektjének, a Dongs Internet 2025 márciusában, és összesen 3000 dollárt kaptak a Hackerone biztonsági platformon keresztüli megjelöléséért. A Lovense képviselőivel folytatott interakciók sorozata után június elején azt mondták nekik, hogy a fiók átvételi hibáját az előző hónapban javították, amely a kutató szerint nem igaz. Az e-mail nyilvánosságra hozatali hibát illetően Lovense a Bobdahacker által kinyomtatott nyilatkozatban kijelentette, hogy a probléma megoldása akár 14 hónapig is eltarthat, mivel a gyorsabb egy hónapos javítás “minden felhasználót megkövetel, hogy azonnal frissítse”, amely azt állította, hogy “megzavarja a régi verziók támogatását”.
A kutató folytatta, hogy egy Twitter -felhasználó kapcsolatba lépett velük, aki azt állította, hogy ugyanazt a fiók átvételi hibáját 2023 -ban találta meg, és röviddel azután, hogy bejelentették, hogy Lovense -nek jelentették, hogy a hiba megoldódott, ami nem volt a helyzet. Azt mondták, hogy egy javítás végül rögzítette a módszerüket, amely egy HTTP végpontot használt a felhasználónév e -mail címre konvertálásához, de azt nem dobták be 2025 elején. Bobdahacker azt mondta, hogy megjegyzést kértek a Lovense -től, de az írás idején nem kapott egyet.
Ez nem az első alkalom, hogy a Lovense felhasználók megbotlottak az adatvédelmi problémák miatt. 2017 -ben egy Redditor rájött, hogy a Lovense alkalmazás, amely lehetővé teszi a felhasználók számára, hogy távolról irányítsák a szexuális játékokat, hangot rögzítettek az hozzájárulásuk nélkül, és a telefonjukra mentették. A Reddit Post kommentátora, aki azt állította, hogy Lovense képviselője, a felvételeket “kisebb szoftver hibának” nevezte, amely befolyásolta az alkalmazás Android verzióját, és azt mondta, hogy azt egy frissítésben rögzítették.
