Sicherheitslücke
Vibrator-App leakt Mail- Adressen von Kunden
30.07.2025Ein bekanntes Unternehmen für ferngesteuerte Sexspielzeuge steht wegen IT-Schwachstellen in der Kritik – betroffen sind unter anderem E-Mail-Adressen und Zahlungsfunktionen.
Lovense, ein Hersteller vernetzter Intimprodukte mit Sitz in Singapur, ist international verbreitet – insbesondere in der Webcam-Branche. Ein aktueller Bericht des Hackers BobDaHacker und seiner Kollegin Eva wirft dem Unternehmen jedoch grobe Versäumnisse beim Datenschutz vor. Demnach lassen sich aus den öffentlichen Nutzernamen in Lovense-Profilen mit wenigen Klicks die verknüpften E-Mail-Adressen rekonstruieren.
Gerade Camgirls veröffentlichen ihre Nutzernamen gezielt, um ihre Lovense-Geräte von Fans aus der Ferne steuern zu lassen. Der Abgleich mit den E-Mails ist somit nicht nur ein Verstoß gegen die Privatsphäre, sondern auch ein potenzielles Einfallstor für gezielte Angriffe.
Zugriff auf Nutzerkonten möglich
Laut BobDaHacker reichte die Kenntnis der E-Mail-Adresse in bestimmten Fällen bereits aus, um Zugriff auf zentrale Funktionen des Nutzerkontos zu erhalten. Das betrifft nicht nur Steuerung und Konfiguration der Geräte – auch Zahlungssysteme für kostenpflichtige Interaktionen könnten manipuliert werden.
Bereits im März informierten die Sicherheitsforscher Lovense über die Schwachstellen. Doch erst zwei Monate später reagierte das Unternehmen mit einer E-Mail – und behauptete, einige der Probleme seien bereits behoben. Die schwerwiegendere Lücke bei der E-Mail-Struktur wolle man „im Zuge eines langfristigen IT-Renovierungsplans“ schließen – dieser solle 14 Monate dauern.
Wiederholungstäter mit fragwürdiger Reaktion
Ein ähnliches Sicherheitsproblem war laut Recherchen bereits 2023 gemeldet worden – und damals als „ernstes Risiko“ eingestuft. Kurz darauf stufte Lovense die Lücke herunter und zahlte nur 350 Dollar an die Entdeckerin. Auch im aktuellen Fall zeigt sich das Unternehmen zurückhaltend bei der Auszahlung von Preisgeldern für sogenannte „Bug Bounties“. BobDaHacker erhielt zunächst je 1.000 Dollar für zwei gemeldete Fehler. Erst nach Protest wurden weitere 2.000 Dollar überwiesen.
Die Hacker werfen Lovense nun vor, Sicherheitsrisiken bewusst zu verharmlosen, um niedrigere Prämien zahlen zu müssen. Dabei sei der Schutz sensibler Daten – gerade im Sextech-Bereich – besonders wichtig, so die Kritik.