Uma falha de segurança Lovense pode estar deixando as pessoas assumirem contas sem uma senha
A empresa de brinquedos sexuais Lovense está vazando os endereços de e -mail de seus usuários de aplicativos e permitindo aquisição de contas sem pedir uma senha, de acordo com um pesquisador de segurança. Conforme relatado por Bobdahacker, que se descreve como um hacker ético comprometido em expor e relatar vulnerabilidades de segurança, publicou um em que eles acusam Lovense de não consertar um bug sério que ele foi informado pela primeira vez em 2023.
De acordo com o hacker (e posteriormente verificado por TechCrunch), Lovense permite que qualquer nome de usuário seja transformado em seu endereço de e-mail com o know-how certo, uma falha que eles descobriram inicialmente depois de silenciar alguém no aplicativo. Com o acesso à API da Lovense, eles foram capazes de obter os e -mails associados a qualquer nome de usuário público em menos de um segundo ao executar o processo de solicitação modificado por meio de um script automatizado. Eles observaram que a natureza vulnerável dessas contas é “especialmente ruim para os modelos CAM” que usam a plataforma Lovense para o trabalho e podem compartilhar seus nomes de usuário para esses propósitos.
O pesquisador também percebeu que, com o endereço de e -mail de um usuário (um que você já conhece ou obtido usando o bug de divulgação acima mencionado), eles poderiam gerar tokens de autenticação que lhes permitiam assumir a conta associada sem uma senha. Isso supostamente trabalhou para o aplicativo Lovense Chrome Extension e Lovense Connect, bem como o software CAM101 e Streammaster da empresa – e até as contas administrativas.
Bobdahacker disse que eles relataram inicialmente os insetos para Lovense com a assistência do Projeto de Hacking de Tecnologia Sexual Em março de 2025, e recebeu US $ 3.000 no total por sinalizá -los através da plataforma de segurança Hackerone. Após uma série de interações com os representantes Lovense, eles foram informados no início de junho que o bug de aquisição da conta havia sido corrigido durante o mês anterior, o que o pesquisador afirma que não é verdade. Sobre a falha de divulgação por e -mail, Lovense disse em um Impresso por Bobdahacker que poderia levar até 14 meses para corrigir o problema, pois uma correção mais rápida de um mês “exigiria forçar todos os usuários a atualizar imediatamente”, que dizia que “interromperia o suporte para versões legadas”.
O pesquisador continuou dizendo que foi contatado por um usuário do Twitter que alegou ter encontrado o mesmo bug de aquisição de conta em 2023, e foi informado logo após denunciá -lo a Lovense que o bug foi resolvido, o que não foi o caso. Eles disseram que um patch acabou consertando seu método, que usou um terminal HTTP para converter um nome de usuário em um endereço de e -mail, mas que não foi lançado até o início de 2025. Bobdahacker disse que havia solicitado comentários de Lovense, mas no momento da redação não havia recebido um.
Esta não é a primeira vez que os usuários de Lovense se deparam privacidade preocupação bugs. Em 2017, um redditor Que o aplicativo Lovense, que permite que os usuários controlem seus brinquedos sexuais remotamente, estava gravando áudio sem o consentimento deles e salvando -o no telefone deles. Um comentarista no Reddit que afirmou ser um representante Lovense, chamou as gravações de “bug de software menor” que afetou a versão Android do aplicativo e disse na época em que ele foi corrigido em uma atualização.
