Lovense e-postläcka har utsatt användare av det populära sextech-varumärket för allvarliga integritetsrisker. Attackörer kunde extrahera e-postadresser i klartext enbart genom att känna till ett användarnamn. Säkerhetsforskare säger att företaget underlät att åtgärda bristen på över ett år – trots flera varningar.
Den etiska hackern BobDaHacker upptäckte problemet av en slump när han använde appen. Efter att ha tystat en annan användare märkte han att API:et returnerade personens e-postadress. Det ledde till en djupare granskning, där han upptäckte att vem som helst kunde extrahera en användares riktiga e-postadress med ett enkelt angreppssätt.
Attacken tar bara sekunder
Sårbarheten bygger på osäkra API:er och svaga autentiseringsflöden. En angripare kan:
- Generera krypteringsnycklar med kontouppgifter
- Kryptera valfritt offentligt användarnamn med nycklarna
- Dekryptera serverns ”fejkade” e-postadress
- Ansluta till Lovenses XMPP-server och koppla ihop informationen med riktiga adresser
Hela attacken tar 30 sekunder manuellt – eller under en sekund med ett script.
Värre är att en andra sårbarhet gjorde det möjligt att skapa autentiseringstoken utan lösenord. Det innebar att vem som helst kunde kapa konton genom att bara känna till en e-postadress – inklusive administratörskonton och cammodellkonton kopplade till Lovense-verktyg som SteamMaster och Cam101.
Buggar kvarstår fortfarande
Enligt BobDaHacker tog det Lovense över 14 månader att delvis åtgärda problemet. I juli 2025 rapporterade han att API:et fortfarande genererar tokens – även om de inte längre fungerar på de flesta endpoints. Han kritiserar företagets passivitet och menar att det hellre utsätter användardata för risk än att tvinga fram appuppdateringar.
En annan forskare, Krissy, säger att hon upptäckte samma problem redan i september 2023 tillsammans med vännen SkeletalDemise. Deras metod krävde inte ens XMPP – en enkel API-förfrågan räckte för att omvandla användarnamn till e-post och vice versa.
Krissy säger att Lovense märkte sårbarheten som ”åtgärdad” men ändå lät buggen existera i tysthet. Hon fick endast 350 dollar i så kallad bug bounty-belöning, medan BobDaHacker med team fick 3 000 dollar. Hon har sedan dess begärt att hennes ersättning omprövas.
Risk för cammodeller och användare
Lovenses produkter används ofta av cammodeller och personer med höga integritetskrav. Den läckta datan utsätter dem för risker som doxxing, nätfiske och trakasserier. Forskare uppmanar nu användare att använda engångsmejl och omvärdera om de bör lita på en plattform som ”tar över fyra månader på sig att halvlösa kritiska buggar”.
Slutsats
Lovense-läckan visar faran med osäkra API:er och ouppklarade sårbarheter i konsumentteknik. Trots vissa korrigeringar är problemet enligt forskarna inte helt löst. För användare är detta en skarp påminnelse om att datasäkerhet inte är garanterad – inte ens i de mest intima teknikmiljöerna.
0 svar till ”Lovense e-postläcka avslöjar användare efter månader av varningar”