Falhas da Lovense expõem e-mails e permitem o controle da conta
Lovense corrigiu bugs expondo e-mails e permitindo invasões de contas. O CEO da empresa pode tomar medidas legais depois que as falhas foram divulgadas publicamente.
A Lovense, fabricante de brinquedos sexuais conectados à Internet, corrigiu duas vulnerabilidades que expunham os e-mails dos usuários e permitiam a aquisição remota de contas.
Um pesquisador conhecido como BobDaHacker recentemente Divulgados as falhas depois que Lovense alegou que levaria 14 meses para resolvê-las.
“Após o relatório, realizamos uma investigação completa e implementamos as etapas iniciais de mitigação, incluindo uma correção temporária para o problema de caminho do script que você identificou. No entanto, resolver a causa raiz envolve um trabalho arquitetônico mais profundo. Lançamos um plano de remediação de longo prazo que levará aproximadamente dez meses, com pelo menos mais quatro meses necessários para implementar totalmente uma solução completa. Também avaliamos uma correção mais rápida de um mês.” A empresa disse ao pesquisador. “No entanto, isso exigiria forçar todos os usuários a atualizar imediatamente, o que interromperia o suporte para versões legadas. Decidimos contra essa abordagem em favor de uma solução mais estável e fácil de usar.“
CEO da Lovesense, Dan Liu disse ao TechCrunch Eles podem tomar medidas legais depois que as falhas foram divulgadas publicamente.
“Queremos tranquilizar nossos clientes de que: • Todas as vulnerabilidades identificadas foram totalmente abordadas. • A partir de hoje, não há evidências sugerindo que quaisquer dados do usuário, incluindo endereços de e-mail ou informações da conta, tenham sido comprometidos ou mal utilizados”, disse Liu. “Em resposta aos inúmeros relatórios errôneos online, nossa equipe jurídica está investigando a possibilidade de ação legal.”
O pesquisador BobDaHacker descobriu que Lovense vazou os endereços de e-mail dos usuários por meio do tráfego de rede. Ele descobriu que, modificando as solicitações, qualquer nome de usuário poderia ser vinculado ao e-mail deles. O pesquisador encontrou uma segunda falha que permitia que qualquer pessoa assumisse uma conta Lovense usando apenas o e-mail do usuário, ignorando senhas para obter acesso remoto total.
As duas vulnerabilidades foram corrigidas em 30 de julho, apenas dois dias depois que o pesquisador as divulgou, apesar de a empresa inicialmente ter dito que levaria 14 meses. O pesquisador questiona como uma estimativa de 14 meses foi possível se os problemas foram resolvidos em apenas dois dias.
“AMBAS as vulnerabilidades críticas foram finalmente corrigidas em 30 de julho de 2025 – mas somente depois que a pressão pública forçou sua mão. A divulgação do e-mail que eles alegaram levaria 14 meses para ser corrigida? Corrigido em 2 dias. A vulnerabilidade de controle de conta relatada pela primeira vez em 2023? Também corrigido de repente após 2 anos de mentiras. Isso se tornou viral e, em 48 horas, eles milagrosamente encontraram soluções para problemas “impossíveis”. Veja todas as atualizações abaixo para a história completa da negligência de Lovense, mentiras e como a exposição pública realizou o que anos de divulgação responsável não conseguiram.“
Siga-me no Twitter:@securityaffairseLinkedineMastodonte
(Assuntos de Segurança–HackingLovense)