Vulnerabilità Lovense: giocattoli per adulti non sicuri

Questa è la storia di come le vulnerabilità nelle app del produttore di sex toys Lovense hanno messo in luce le identità degli utenti e consentito l’acquisizione di account, un problema che l’azienda ha ignorato per anni.

Questa è la storia di come le vulnerabilità nelle app del produttore di sex toys Lovense hanno messo in luce le identità degli utenti e consentito l'acquisizione di account, un problema che l'azienda ha ignorato per anni.

Il nostro blog ha trattato le vulnerabilità di alcuni gadget insoliti: da coprimaterassi intelligenti e aspirapolvere robot a pulsanti audio dei segnali stradali, giocattoli per bambini, dispenser smart per animali domestici e persino biciclette. Ma il caso di cui stiamo discutendo oggi potrebbe essere semplicemente il più… insolito mai visto. Di recente, i ricercatori sulla cybersecurity hanno scoperto due vulnerabilità estremamente gravi nelle app di controllo remoto per… i sex toys Lovense.

Tutto in questa storia è folle: la natura dei gadget vulnerabili, l’intenzione dell’azienda di impiegare 14 mesi (!) per risolvere i problemi e i dettagli scandalosi emersi dopo che i ricercatori hanno pubblicato le loro scoperte. Allora… mettiamoci a scoprire in questa storia, che è tanto assurda quanto fantastica.

L’ecosistema online di Lovense

La prima cosa che rende questa storia così insolita è che Lovense, un produttore di giocattoli intimi, si rivolge sia alle coppie “a distanza” che alle modelle in webcam (modelli umani che utilizzano le webcam) che lavorano su piattaforme di streaming.

Per controllare i dispositivi e consentire l’interazione con l’utente, l’azienda ha sviluppato un’intera suite di prodotti software su misura per una varietà di scenari:

  • Lovense Remote: la principale app mobile per il controllo dei dispositivi intimi.
  • Lovense Connect: un’app complementare che funge da ponte tra i dispositivi Lovense e altre app o servizi online. Viene installata in uno smartphone o un computer e consente a un giocattolo di connettersi tramite Bluetooth, quindi trasmette i comandi di controllo da sorgenti esterne.
  • Lovense Cam Extension: un’estensione del browser per Chrome ed Edge che collega i dispositivi Lovense alle piattaforme di streaming. Viene utilizzata con l’app Lovense Connect e il software di streaming OBS Toolset per il controllo interattivo durante le trasmissioni in diretta.
  • Lovense Stream Master: un’app all-in-one per streamer e modelli di videocamere che unisce funzionalità di controllo del dispositivo con funzionalità di live streaming.
  • Cam101: piattaforma didattica online di Lovense per modelle che lavorano su siti di streaming.

Naturalmente, l’intera configurazione include anche API, SDK, una piattaforma interna per le mini-app e altro ancora. In breve, Lovense non è solo una questione di giocattoli intimi connessi a Internet: è un ecosistema a tutti gli effetti.

Lovense Stream Master: un servizio per l'interfaccia utente dei modelli di webcam dell'app Stream Master, che unisce la gestione dei dispositivi e lo streaming video

Interfaccia utente dell’app Stream Master, che unisce la gestione dei dispositivi e lo streaming video. Fonte

Se si crea un account nell’infrastruttura Lovense, viene richiesto di fornire un indirizzo e-mail. Mentre alcuni servizi offrono la possibilità di accedere con Google o Apple, un indirizzo e-mail è il metodo di registrazione principale per un account Lovense. Questo dettaglio potrebbe sembrare insignificante, ma è al centro delle vulnerabilità scoperte.

Due vulnerabilità nei prodotti online Lovense

Allora, come si è sviluppato tutto questo? Alla fine di luglio 2025, un ricercatore noto come BobDaHacker ha pubblicato sul suo blog un post dettagliato su due vulnerabilità nei prodotti online di Lovense. Molti prodotti (incluso Lovense Remote) dispongono di funzionalità di interazione sociale. Queste funzionalità consentono agli utenti di chattare, aggiungere amici, inviare richieste e iscriversi ad altri utenti, comprese le persone che non conoscono.

Durante l’utilizzo delle funzionalità di interazione sociale di una delle app Lovense, BobDaHacker ha individuato la prima vulnerabilità: quando ha disabilitato le notifiche di un altro utente, l’app ha inviato una richiesta API al server Lovense. Dopo aver esaminato il corpo di questa richiesta, BobDaHacker è stato sorpreso di scoprire che, anziché l’ID dell’utente, la richiesta conteneva l’indirizzo e-mail effettivo.

Vulnerabilità dell'API Lovense che espone le e-mail degli utenti

Quando veniva eseguita un’azione semplice (come la disattivazione delle notifiche), l’app inviava una richiesta al server che includeva l’indirizzo e-mail reale di un altro utente Fonte

In seguito a ulteriori indagini, il ricercatore ha scoperto che l’architettura dell’API di Lovense è stata progettata in modo che per qualsiasi azione che riguarda un altro utente (come la disattivazione delle notifiche), l’app invii una richiesta al server. In pratica, ciò significava che qualsiasi utente che intercettava il proprio traffico di rete poteva ottenere l’accesso agli indirizzi e-mail reali di altre persone nell’app.

In pratica, ciò significava che qualsiasi utente che intercettava il proprio traffico di rete poteva ottenere l’accesso agli indirizzi e-mail reali di altre persone nell’app. È importante ricordare che le app Lovense dispongono di funzionalità di interazione sociale e consentono la comunicazione con i modelli di webcam. In molti casi gli utenti non si conoscono all’esterno della piattaforma e l’esposizione degli indirizzi e-mail collegati ai propri profili potrebbe comportare la deanonimizzazione.

BobDaHacker ha discusso le sue scoperte con un’altra ricercatrice di sicurezza informatica di nome Eva e insieme hanno esaminato l’app Lovense Connect. Questo li ha portati a scoprire una vulnerabilità ancora più grave: la generazione di un token di autenticazione nell’app richiedeva solo l’indirizzo e-mail dell’utente, senza la password.

Ciò significava che qualsiasi persona tecnicamente qualificata poteva ottenere l’accesso all’account di qualsiasi utente Lovense, a condizione che conoscesse l’indirizzo e-mail dell’utente. E come abbiamo appena appreso, tale indirizzo poteva essere facilmente ottenuto sfruttando la prima vulnerabilità.

Seconda vulnerabilità: acquisizione del controllo dell'account tramite solo un indirizzo e-mail

Per generare un token di autenticazione nell’app Lovense, era richiesta solo l’e-mail dell’utente, senza la password. Fonte

Questi token sono stati utilizzati per l’autenticazione in vari prodotti nell’ecosistema Lovense, tra cui:

  • Lovense Cam Extension
  • Lovense Connect
  • Stream Master
  • Cam101

Inoltre, i ricercatori hanno utilizzato con successo questo metodo per ottenere l’accesso non solo ai normali profili utente, ma anche agli account con privilegi di amministratore.

Risposta di Lovense alle segnalazioni di vulnerabilità

Alla fine di marzo 2025 BobDaHacker ed Eva hanno segnalato le vulnerabilità scoperte nei prodotti Lovense tramite The Internet Of Dongs Project, un gruppo dedito alla ricerca e al miglioramento della sicurezza dei dispositivi intimi connessi a Internet. Il mese successivo, ad aprile 2025, hanno inoltre pubblicato entrambe le vulnerabilità su HackerOne, una piattaforma più tradizionale per l’interazione con i ricercatori della sicurezza e il pagamento di ricompense dei bug.

Lovense, il produttore di giocattoli per adulti, ha preso atto della segnalazione e ha persino pagato a BobDaHacker ed Eva un totale di $ 4000 come ricompensa. Tuttavia, a maggio e poi di nuovo a giugno, i ricercatori hanno notato che le vulnerabilità non erano ancora state corrette. Hanno continuato a parlare con Lovense, quando la parte più bizzarra della storia ha iniziato a svolgersi.

In primo luogo, Lovense ha dichiarato ai ricercatori che la vulnerabilità di acquisizione del controllo dell’account era stata corretta ad aprile. Ma BobDaHacker ed Eva hanno verificato e confermato che si trattava di un errore: era comunque possibile ottenere un token di autenticazione per l’account di un altro utente senza una password.

La situazione con la vulnerabilità relativa alla divulgazione delle e-mail era ancora più assurda. L’azienda ha dichiarato che sarebbero stati necessari 14 mesi per risolvere completamente il problema. Lovense ha ammesso di disporre di una correzione che poteva essere implementata in un solo mese, ma che ha deciso di non farlo per evitare problemi di compatibilità e mantenere il supporto per le versioni precedenti dell’app.

L’andirivieni tra i ricercatori e il produttore è continuato per diversi mesi. L’azienda affermava ripetutamente che le vulnerabilità erano state risolte, e i ricercatori dimostravano in modo altrettanto coerente che potevano ancora accedere sia alle email che agli account.

Infine, a fine luglio, BobDaHacker ha pubblicato un post sul blog dettagliato che descrive le vulnerabilità e l’inerzia di Lovense, ma solo dopo aver informato l’azienda in anticipo. I giornalisti di TechCrunch e di altri punti vendita hanno contattato BobDaHacker e sono stati in grado di confermare che all’inizio di agosto, quattro mesi dopo la prima notifica all’azienda, il ricercatore poteva ancora accertare l’indirizzo e-mail di qualsiasi utente.

E quella era tutt’altro che la fine. I dettagli più scandalosi sono stati rivelati a BobDaHacker ed Eva solo dopo la pubblicazione della loro ricerca.

Una storia di negligenza: chi ha avvertito Lovense e quando

Il lavoro di BobDaHacker ha fatto scalpore nei media, nei blog e nei social network. Di conseguenza, appena due giorni dopo la pubblicazione del rapporto, Lovense ha finalmente corretto entrambe le vulnerabilità, e questa volta, a quanto pare, per davvero.

Tuttavia, è presto emerso che questa storia è iniziata molto prima del rapporto di BobDaHacker. Altri ricercatori avevano già messo in guardia Lovense per le stesse vulnerabilità per anni, ma i loro messaggi erano stati ignorati o messi a tacere. Questi ricercatori hanno condiviso le loro storie con BobDaHacker e le pubblicazioni che hanno seguito la sua indagine.

Per cogliere veramente la portata dell’indifferenza di Lovense nei confronti della sicurezza e della privacy degli utenti, è sufficiente guardare la sequenza temporale di questi rapporti:

  • 2023: un ricercatore noto come @postypoo ha segnalato entrambi i bug a Lovense e gli sono stati offerti… due giocattoli per adulti gratuiti in risposta, ma le vulnerabilità non sono mai state corrette.
  • Sempre 2023: i ricercatori @Krissy e @SkeletalDemise hanno scoperto la vulnerabilità relativa alle acquisizioni di account. Lovense ha affermato che il problema era stato risolto e che era stata pagata una ricompensa nello stesso mese. Tuttavia, il messaggio di follow-up di @Krissy che indicava che la vulnerabilità era ancora presente è rimasto senza risposta.
  • 2022: un ricercatore di nome @radiantnmyheart ha scoperto il bug che esponeva le e-mail e lo ha segnalato. Il messaggio è stato ignorato.
  • 2017: l’azienda Pen Test Partners ha segnalato la vulnerabilità legata all’esposizione dell’e-mail e la mancanza di criptaggio della chat nell’app Lovense Body Chat e ha pubblicato il proprio studio in merito. Il rapporto è stato ignorato.
  • 2016: il progetto Internet Of Dongs ha individuato tre simili vulnerabilità diesposizione e-mail. Questo significa che Lovense ha chiesto a BobDaHacker di concedere 14 mesi per correggere le vulnerabilità note da almeno otto anni!

Inoltre, dopo la pubblicazione del rapporto di BobDaHacker, hanno sentito parlare non solo degli hacker etici che avevano precedentemente segnalato questi bug, ma anche del creatore di un sito Web OSINT e dei suoi colleghi, con obiettivi tutt’altro che a scopo etico. Apparentemente queste persone stavano sfruttando le vulnerabilità per i propri scopi, in particolare la raccolta delle e-mail degli utenti e la successiva deanonimizzazione. Questo non sorprende però, dato che il rapporto Pen Test Partners era disponibile al pubblico dal 2017.

Protezione della privacy

L’approccio di Lovense alla privacy e alla sicurezza degli utenti lascia chiaramente molto a desiderare, per usare un eufemismo. Ogni utente deve prendere una decisione autonomamente se continuare a utilizzare i dispositivi del brand, in particolare connettendoli ai servizi online dell’azienda.

Da parte nostra, offriamo alcuni suggerimenti su come proteggersi e mantenere la privacy in caso di interazione con i servizi online per adulti.

  • Creare sempre un indirizzo e-mail separato quando ci si registra a questi tipi di servizi. Non deve contenere alcuna informazione che possa essere utilizzata per identificarti.
  • Non utilizzare questo indirizzo e-mail per altre attività.
  • Al momento della registrazione, non utilizzare il nome, il cognome, l’età, la data di nascita, la città di residenza o qualsiasi altro dato che potrebbe identificarti.
  • Non caricare foto vere di te stesso che potrebbero essere facilmente utilizzate per riconoscerti.
  • Proteggi il tuo account con una password complessa. Deve contenere almeno 16 caratteri e idealmente includere una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali.
  • Questa password deve essere univoca. Non utilizzarla mai per altri servizi per non metterli a rischio in caso di fuga di dati.
  • Per evitare di dimenticare la password e l’indirizzo e-mail creati appositamente per questo servizio, utilizza un gestore di password affidabile. KPM può anche aiutare a generare una password casuale, complessa e univoca.

E se desideri scegliere giocattoli per adulti e servizi attinenti in modo più approfondito, consultare risorse specializzate come The Internet Of Dongs Project, dove è possibile trovare informazioni sui marchi che ti interessano.

Dai un’occhiata ai nostri altri post su come proteggere la tua vita privata da sguardi indiscreti:

Consigli
  • Tutti gli altri paesi