© Unsplash
Lekker dan: seksspeeltjesapp lekte e-mailadressen van gebruikers, Lovense deed niets
Lovense is een aanbieder van seksspeeltjes die werken via een app en op afstand. Het bedrijf bleek een lek in het systeem te hebben, waardoor derde partijen de e-mailadressen van de gebruikers konden inzien. Het enige wat die mensen daarvoor nodig hadden, was de gebruikersnaam van de seksspeeltjeseigenaar. Dat bleek genoeg.
Bovendien is het zo dat Lovense op de hoogte was van dit euvel, maar besloot er niets aan te doen. Des te erger is het dat de hacker die dit ontdekte, BobDaHacker, vertelt dat je met iemands gebruikersnaam diegene zijn account kunt overnemen. De fabrikant werd in maart hiervan op de hoogte gebracht en heeft er maanden over gedaan om de privacy van gebruikers te beschermen. Ook is de issue nog niet openbaar geadresseerd.
Eerder lag Lovense al over vuur vanwege een andere softwarefout. In 2017 kwam namelijk aan het licht dat het bedrijf destijds per ongeluk de seksuele inspanningen van de speeltjeseigenaren bijhield.
BobDaHacker legt op zijn eigen blog uit hoe hij te werk ging. De hacker kwam er achter dat de api van de app (api’s zijn tools voor ontwikkelaars) iemands e-mailadres presenteert op het moment dat je diegene op mute zet. Daarna heeft hij een aangepast verzoek gestuurd naar de Lovense-servers, waardoor die nog meer e-mailadressen in handen kreeg. Vervolgens schreef die een script die elke gebruikersnaam kan omzetten in een persoonlijk digitaal postadres. Het duurde ongeveer een seconde en toen had die alle gegevens in handen.
Om twee redenen vervelend
Dit is om twee redenen vervelend. Ten eerste zou iemand dus op basis van een gebruikersnaam een mailadres kunnen achterhalen. En ten tweede is het zo dat je met een e-mail en een authenticatietoken, die Lovense opstuurt, iemands account kunt overnemen. Samen met de groep Internet of Dongs, die slimme seksspeeltjes veilig wil houden, bracht hij het probleem onder de aandacht van Lovense, maar die ging daar dus niet meteen mee aan de slag.
"We hebben een snellere oplossing van één maand geëvalueerd”, aldus Lovense, volgens BobDaHacker. “Dit zou echter vereisen dat we alle gebruikers dwingen onmiddellijk te upgraden, wat de ondersteuning voor oudere versies zou verstoren.” Zoals BobDaHacker opmerkt, meldden beveiligingsonderzoekers dezelfde accountovernamebug in 2023 al aan Lovense, maar ook toen zou het bedrijf daar niets aan gedaan hebben. Nu laat de fabrikant weten in de aankomende week een update uit te brengen die alle lekken moet verhelpen.
Lees meer nieuws over digitale veiligheid en mis niets met onze Bright-app.