Datalek bij populaire seksspeeltjes-app: hackers konden speeltjes op afstand bedienen

De populaire fabrikant van op afstand bestuurbare seksspeeltjes, Lovense, kampt met een ernstig datalek. Door een fout in het beveiligingssysteem waren e-mailadressen van gebruikers maandenlang eenvoudig te achterhalen, en konden accounts zelfs zonder het invoeren van een wachtwoord worden overgenomen. Het lek maakte het voor hackers mogelijk om niet alleen toegang te krijgen tot persoonlijke gegevens, maar ook om volledige controle te nemen over het gekoppelde seksspeeltje.

Het lek werd in maart ontdekt door een beveiligingsonderzoeker, ook wel ethisch hacker genoemd, die het naar eigen zeggen "geweldig vindt om te zoeken naar beveiligingslekken en deze vervolgens te melden, om zo het internet veiliger te maken voor iedereen." In haar blogpost beschrijft en openbaart ze in detail "het volledige verhaal van Lovense's leugens en nalatigheid."

Datalekken komen op allerlei manieren voor: zo ontdekte Marcel acht dozen met strafdossiers van een grote drugscrimineel... bij het grofvuil! Je ziet het verhaal over de bizarre vondst hier:

2:17

Marcel vindt acht dozen vol strafdossiers over grote drugscrimineel bij het grofvuil

Emailadressen op straat

Wat bleek: iedereen die een netwerkanalysetool gebruikt om de datastroom van de app te inspecteren, kon het e-mailadres van een gebruiker te zien krijgen. Dat maakte het kinderlijk eenvoudig voor kwaadwillenden om toegang te krijgen tot een account en de gebruiker vervolgens buiten te sluiten.

Het probleem zou in maart al aan het bedrijf zijn gemeld, maar gebruikers lijken nog altijd niet officieel te zijn geïnformeerd over de mogelijke dreiging. Verder onderzoek door de beveiligingsonderzoeker wijst erop dat het probleem mogelijk al sinds 2023 bekend was bij Lovense, nadat een andere ethische hacker de coderingsfout had ontdekt.

Nieuwe update

Na wekenlang heen-en-weer tussen de onderzoeker en het bedrijf over de vraag of het probleem daadwerkelijk was opgelost, besloot zij haar bevindingen openbaar te maken via de blogpost. Daarop volgde woensdag eindelijk een oplossing. Een vertegenwoordiger van het bedrijf liet aan technologieplatform TechCrunch weten dat het probleem "nu volledig is opgelost" en dat de update met nieuwe veiligheidsmaatregelen binnen een week beschikbaar zou zijn voor alle gebruikers.

Of er daadwerkelijk gebruikers of seksspeeltjes zijn gehackt via deze fout, is vooralsnog onduidelijk.