E-mail-lækket hos Lovense har udsat brugere af det populære sextech-brand for alvorlige brud på privatlivet, da angribere har kunnet udtrække e-mailadresser i klartekst ved blot at kende brugernavne. Sikkerhedsforskere oplyser, at virksomheden undlod at lukke sårbarheden i over et år – på trods af flere advarsler.
Den etiske hacker BobDaHacker opdagede problemet ved et tilfælde under brug af appen. Da han dæmpede en anden bruger, opdagede han, at API’en returnerede vedkommendes e-mailadresse. Det førte til en dybere undersøgelse, der afslørede, at alle kunne få adgang til brugeres rigtige e-mails via en simpel angrebskæde.
Udnyttelsen tager kun få sekunder
Sårbarheden bygger på flere usikrede API’er og svag autentifikation. Angribere kan:
- Generere krypteringsnøgler ved brug af kontoens loginoplysninger
- Kryptere et offentligt brugernavn med de genererede nøgler
- Dekryptere de returnerede falske e-mails fra serveren
- Forbinde til Lovenses XMPP-server og matche dem med rigtige e-mailadresser
Hele angrebet kan gennemføres manuelt på 30 sekunder – eller på under ét sekund med et script.
Endnu værre er det, at en anden sårbarhed gør det muligt at generere godkendelsestokens uden adgangskode. Det gav uvedkommende mulighed for at kapre konti blot ved at kende en e-mailadresse – inklusive admin- og cammodel-konti knyttet til Lovense-værktøjer som SteamMaster og Cam101.
Fejlene er stadig kun delvist rettet
Ifølge BobDaHacker brugte Lovense over 14 måneder på at løse problemet delvist. I juli 2025 rapporterede han, at API’en stadig genererede tokens – selvom de ikke virker på de fleste endepunkter. Han kritiserede virksomheden for at udsætte brugerne frem for at tvinge appopdateringer igennem.
En anden forsker, Krissy, udtalte, at hun sammen med sin ven SkeletalDemise fandt den samme fejl allerede i september 2023. Deres metode krævede ikke engang XMPP – kun et simpelt API-kald, der tillod konvertering mellem brugernavn og e-mail.
Krissy hævder, at Lovense markerede sårbarheden som “løst”, selvom fejlen stadig eksisterede i stilhed. Hun modtog kun $350 i bounty-belønning, mens BobDaHacker og hans team fik $3.000. Hun har siden anmodet om at få sin belønning genvurderet.
Risiko for cammodeller og brugere
Lovenses produkter bruges af mange cammodeller og privatlivsbevidste brugere. Det lækkede data udsætter dem for doxxing, phishing og chikane. Forskere anbefaler nu brugerne at benytte engangsmails og at genoverveje deres tillid til en platform, der “bruger over fire måneder på halvhjertede rettelser af kritiske fejl.”
Konklusion
Lovense-lækket fremhæver de alvorlige risici forbundet med dårligt sikrede API’er og manglende handling over for kendte sårbarheder. Selvom visse rettelser er gennemført, mener forskere, at problemet langt fra er løst. For brugerne er dette en klar påmindelse: Selv intime teknologier er ikke immune over for datalæk og sikkerhedsbrud.
0 svar til “Lovense-e-mail-læk afslører brugere efter måneder med advarsler”