Das E-Mail-Leck bei Lovense hat Nutzer:innen der beliebten Sextech-Marke erheblichen Datenschutzrisiken ausgesetzt. Angreifer konnten durch die Kenntnis eines öffentlichen Benutzernamens auf unverschlüsselte E-Mail-Adressen zugreifen. Sicherheitsexperten sagen, das Unternehmen habe die Schwachstelle über ein Jahr lang ignoriert – trotz mehrfacher Hinweise.
Der ethische Hacker BobDaHacker entdeckte das Problem zufällig während der Nutzung der App. Nachdem er einen anderen Nutzer stummgeschaltet hatte, stellte er fest, dass die API dessen E-Mail-Adresse zurückgab. Eine genauere Untersuchung zeigte: Jeder konnte mit einfachen Mitteln die echte E-Mail-Adresse eines Nutzers aus dessen Benutzernamen herausfinden.
Der Angriff dauert nur wenige Sekunden
Die Schwachstelle beruht auf mehreren unsicheren APIs und schwachen Authentifizierungsmechanismen. Angreifer können:
- Verschlüsselungstokens mit Login-Daten erzeugen
- Öffentliche Benutzernamen mit bereitgestellten Schlüsseln verschlüsseln
- Vom Server zurückgegebene Fake-E-Mails entschlüsseln
- Über den Lovense-XMPP-Server echte E-Mail-Adressen zuordnen
Manuell dauert der gesamte Angriff etwa 30 Sekunden – mit einem Skript weniger als eine Sekunde.
Noch gravierender: Eine weitere Schwachstelle ermöglichte es, Autorisierungstokens ohne Passwort zu generieren. So konnten Konten – einschließlich Admin- und Cam-Model-Konten von Tools wie SteamMaster und Cam101 – allein durch die Kenntnis einer E-Mail-Adresse übernommen werden.
Fehler nur unzureichend behoben
Laut BobDaHacker brauchte Lovense über 14 Monate, um das Problem teilweise zu beheben. Im Juli 2025 berichtete er, dass die API noch immer Tokens generiert – auch wenn diese für die meisten Endpunkte nicht mehr funktionieren. Er kritisierte, Lovense ziehe es vor, Nutzerdaten zu gefährden, statt App-Updates zu erzwingen.
Auch die Forscherin Krissy meldete die Schwachstelle bereits im September 2023 zusammen mit ihrem Kollegen SkeletalDemise. Ihre Methode brauchte nicht einmal XMPP – ein einfacher API-Call reichte, um Benutzernamen in E-Mail-Adressen umzuwandeln und umgekehrt.
Krissy gibt an, Lovense habe die Lücke als „behoben“ markiert, obwohl der Fehler weiterhin stillschweigend bestand. Sie erhielt lediglich 350 US-Dollar als Bug-Bounty-Prämie, während BobDaHacker und Co. 3.000 US-Dollar bekamen. Sie fordert nun eine Neubewertung ihrer Prämie.
Risiko für Cam-Models und Nutzer:innen
Lovense-Geräte werden häufig von Cam-Models und datenschutzbewussten Nutzern verwendet. Das Datenleck setzt sie der Gefahr von Doxxing, Phishing und Belästigung aus. Forscher:innen empfehlen, Einweg-E-Mails zu nutzen und das Vertrauen in Plattformen zu überdenken, die „über vier Monate brauchen, um kritische Bugs halbherzig zu beheben“.
Fazit
Das Lovense-E-Mail-Leck zeigt die Risiken schlecht gesicherter APIs und verschleppter Sicherheitslücken in der Konsumententechnologie. Auch wenn einige Fixes umgesetzt wurden, sehen Experten die Probleme nicht als gelöst. Für Nutzer:innen ist das ein warnendes Beispiel: Selbst im sensiblen Bereich der Intimtechnologie ist Datensicherheit alles andere als garantiert.
0 Kommentare zu „Lovense-E-Mail-Leck legt Nutzer offen nach monatelangen Warnungen“