A Lovense, az egyik legnagyobb online szexjátékokat gyártó vállalat komoly adatbizonsági botrányban találta magát, miután egy biztonsági kutató, BobDaHacker két súlyos hibát talált a rendszerében, amelyek lehetővé teszik a felhasználók privát e-mail címének kiszivárgását.
A kutató a hibákat hétfőn tette közzé, miután Lovense közölte, hogy 14 hónapra van szüksége a problémák kijavításához, hogy ne zavarja meg az idősebb termékeket használó felhasználókat. BobDaHacker szerint más felhasználók e-mail címét alapból nem lehet látni az alkalmazásban, egy hálózati adatokat elemző eszközzel bárki láthatja ezeket. A kutató arra is rámutatott, hogy a hálózati kérések módosításával bárki hozzárendelhet egy Lovense felhasználónevet egy e-mail címhez, így potenciálisan bárki elérhet az azonosítható e-mail címhez, amelyet a felhasználó a Lovense-hez regisztrált.
A hiba különösen súlyos a webcamera-modellek számára, akik nyilvánosan megosztják a felhasználónevüket, de valószínűleg nem szeretnék, ha a személyes e-mail címük is nyilvánosságra kerülne. A kutató egy másik komoly hibát is talált, ami lehetővé tette a fiókok átvételét csupán az e-mail címek ismeretében. A hiba révén bárki létrehozhat hitelesítési tokeneket anélkül, hogy szükség lenne a jelszóra, így a támadó gyakorlatilag átveheti az adott fiókot.
BobDaHacker március 26-án jelentette be a problémát a Lovense-nek, és a HackerOne bug bounty platformon 3000 dollárt kapott, azonban miután hetekig vitatkoztak arról, hogy a hibákat valóban kijavították-e, a kutató úgy döntött, hogy nyilvánosságra hozza az ügyet.
A Lovense képviselője később megerősítette, hogy a fiókok sebezhetőségét már teljesen kijavították, és az e-mail címek szivárgásának problémáját is orvosolják egy frissítés keretében, amelyet a következő hét folyamán elérhetővé tesznek minden felhasználó számára. A cég ugyanakkor nem vállalta, hogy nyilvánosan tájékoztatják a felhasználókat a hibákról.
