Lovense expone correos de usuarios y permite hackeo de cuentas
Dos fallos de seguridad afectan a 20 millones de usuarios de juguetes sexuales conectados. Un investigador reveló que la empresa tardaría 14 meses en solucionarlos. Los riesgos incluyen exposición de datos y control remoto de dispositivos.
«Cualquiera podía acceder a los correos y cuentas en segundos»
El investigador BobDaHacker descubrió que Lovense filtraba direcciones de correo mediante herramientas de análisis de red. «Era especialmente grave para modelos web que comparten sus nombres de usuario públicamente», explicó. TechCrunch verificó que, con un script automatizado, se obtenía el email registrado en menos de un segundo.
Vulnerabilidad crítica
Un segundo fallo permitía tomar el control de cualquier cuenta solo con el correo electrónico, sin necesidad de contraseña. «Literalmente cualquiera podía hacerse pasar por el usuario real», alertó el investigador. Ambos errores afectaban a toda la base de usuarios, incluidos dispositivos antiguos.
De la denuncia al conflicto
BobDaHacker reportó los fallos el 26 de marzo a través del proyecto Internet of Dongs y recibió 3.000 dólares de recompensa. Sin embargo, Lovense argumentó que necesitaba 14 meses para corregirlos, rechazando una solución rápida que obligaría a actualizar aplicaciones obsoletas. La empresa no respondió inicialmente a TechCrunch.
Un sector bajo escrutinio
Lovense, con 20 millones de usuarios, integraba ChatGPT en sus productos desde 2023. Los dispositivos conectados a internet plantean riesgos únicos, como bloqueos remotos o fugas de datos sensibles. Un posible antecedente de estos fallos data de septiembre de 2023, pero no se corrigió.
Respuesta tardía
Tras la publicación de TechCrunch, Lovense afirmó que el fallo de usurpación de cuentas ya está solucionado y que el de exposición de correos se parcheará en una semana. La compañía no confirmó si informaría públicamente a sus clientes sobre las vulnerabilidades.
