Уязвимость в системе безопасности Lovense может позволять взлом аккаунтов без пароля.

Компания, производящая секс-игрушки Lovense, допускает утечку адресов электронной почты пользователей своего приложения и позволяет захватывать учетные записи без запроса пароля, сообщает исследователь в области безопасности.

Как сообщает TechCrunch, BobDaHacker, представляющий себя этичным хакером, стремящимся выявлять и сообщать об уязвимостях в системе безопасности, опубликовал развернутый отчет, в котором обвиняет Lovense в неисправлении серьезной ошибки, о которой ей стало известно еще в 2023 году.

По словам исследователя (что впоследствии было подтверждено TechCrunch), Lovense позволяет преобразовать любое имя пользователя в адрес электронной почты, имея определенные знания, уязвимость была обнаружена после блокировки одного из пользователей в приложении. Имея доступ к API Lovense, исследователь смог получить адреса электронной почты, связанные с любым общедоступным именем пользователя, менее чем за секунду, используя модифицированный запрос через автоматизированный скрипт.

Он отметил, что уязвимость этих учетных записей "особенно опасна для веб-моделей", использующих платформу Lovense для работы и делящихся своими именами пользователей в этих целях.

Исследователь также обнаружил, что имея адрес электронной почты пользователя (либо уже известный, либо полученный с помощью упомянутой уязвимости), можно генерировать токены аутентификации, позволяющие захватить связанную с ним учетную запись без пароля. Предположительно, это работало для Chrome Extension Lovense, приложения Lovense Connect, а также для программного обеспечения Cam101 и StreamMaster компании, и даже для административных учетных записей.

BobDaHacker сообщил, что впервые сообщил об этих ошибках в Lovense при поддержке проекта по взлому секс-технологий The Internet Of Dongs в марте 2025 года и получил в общей сложности 3000 долларов США за их выявление через платформу безопасности HackerOne. После серии взаимодействий с представителями Lovense ему сообщили в начале июня, что ошибка, позволяющая захватить учетную запись, была исправлена в течение предыдущего месяца, что, по утверждению исследователя, не соответствует действительности.

Что касается уязвимости, приводящей к раскрытию адресов электронной почты, Lovense заявила в своем заявлении, опубликованном BobDaHacker, что для ее устранения может потребоваться до 14 месяцев, поскольку более быстрое исправление в течение месяца "потребует немедленного обновления всех пользователей", что, по их мнению, "нарушит поддержку устаревших версий".

Исследователь также сообщил, что с ним связался пользователь Twitter, который заявил, что обнаружил ту же ошибку, позволяющую захватить учетную запись, еще в 2023 году, и что после сообщения об этом в Lovense ему сообщили, что ошибка была устранена, что оказалось не так. Он сообщил, что в конечном итоге патч исправил его метод, который использовал HTTP-endpoint для преобразования имени пользователя в адрес электронной почты, но он был развернут только в начале 2025 года.

BobDaHacker заявил, что запрашивал комментарии у Lovense, но на момент написания статьи не получил ответа.

Это не первый случай, когда пользователи Lovense сталкиваются с ошибками, вызывающими опасения по поводу конфиденциальности. В 2017 году пользователь Reddit обнаружил, что приложение Lovense, позволяющее пользователям удаленно управлять своими секс-игрушками, записывает звук без их согласия и сохраняет его на своем телефоне.

Комментатор в публикации Reddit, заявивший, что является представителем Lovense, назвал записи "незначительной программной ошибкой", которая затронула Android-версию приложения, и заявил, что на момент публикации она была исправлена в обновлении.