E-postlekkasjen hos Lovense har utsatt brukere av det populære sextech-merket for alvorlige personvernsrisikoer. Angripere kunne hente ut e-postadresser i klartekst kun ved hjelp av brukernavn. Sikkerhetsforskere sier selskapet unnlot å fikse sårbarheten i over ett år – til tross for gjentatte varsler.
Den etiske hackeren BobDaHacker oppdaget problemet ved en tilfeldighet mens han brukte appen. Etter å ha dempet en annen bruker, la han merke til at API-et returnerte vedkommendes e-postadresse. Det førte til en dypere granskning som avslørte at hvem som helst kunne hente ut en brukers ekte e-post via et enkelt angrepsmønster.
Angrepet tar bare sekunder
Sårbarheten skyldes flere usikrede API-er og svak autentisering. Angripere kan:
- Generere krypteringstokener med kontoens legitimasjon
- Kryptere et offentlig brukernavn med de genererte nøklene
- Dekryptere e-postadressene som returneres fra serveren
- Koble til Lovenses XMPP-server og matche brukere med ekte adresser
Hele prosessen tar omtrent 30 sekunder manuelt – eller under ett sekund med et skript.
Enda verre er det at en annen feil lot hvem som helst generere autentiseringstokener uten passord. Dette gjorde det mulig å kapre kontoer ved å kjenne til en e-postadresse – inkludert admin-kontoer og cammodell-profiler tilknyttet Lovense-verktøy som SteamMaster og Cam101.
Sikkerhetshullene er fortsatt delvis åpne
Ifølge BobDaHacker brukte Lovense over 14 måneder på å delvis tette lekkasjen. I juli 2025 rapporterte han at API-et fortsatt genererer tokens – selv om de ikke fungerer på de fleste endepunkter. Han kritiserer selskapet for å prioritere bekvemmelighet over sikkerhet.
En annen sikkerhetsforsker, Krissy, sier hun fant det samme problemet i september 2023 sammen med en venn. De trengte ikke XMPP – kun én enkel API-forespørsel som kunne oversette brukernavn til e-post og omvendt.
Krissy hevder Lovense merket feilen som “løst”, mens den i realiteten fortsatte å eksistere. Hun fikk kun 350 dollar i bug bounty-belønning, mens BobDaHacker og teamet hans fikk 3 000 dollar. Hun har senere bedt om å få vurdert belønningen på nytt.
Risiko for cammodeller og brukere
Lovenses produkter brukes ofte av cammodeller og brukere med høy fokus på personvern. Den lekkede informasjonen gjør dem sårbare for doxxing, phishing og trakassering. Forskerne anbefaler nå brukere å benytte engangse-poster og vurdere om plattformen er verdt risikoen, gitt at “kritiske feil ikke løses før etter fire måneder – og da bare delvis.”
Konklusjon
Lovense-lekkasjen understreker farene ved dårlige API-er og uløste sikkerhetshull i forbrukerteknologi. Til tross for delvise forbedringer mener forskere at feilen fortsatt ikke er løst. For brukere er dette en viktig påminnelse: Selv intime teknologiplattformer kan ikke garantere sikkerhet for dine data.
0 responses to “Lovense e-postlekkasje avslører brukere etter måneder med advarsler”