Brinquedos eróticos têm falha de segurança que expõe 20 milhões de usuários

Uma grave falha de segurança nos brinquedos eróticos conectados da Lovense expõe os endereços de e-mail de mais de 20 milhões de usuários em todo o mundo e permite que atacantes assumam o controle completo de qualquer conta usando apenas o nome de usuário da vítima. A vulnerabilidade, descoberta pelo pesquisador de segurança BobDaHacker, afeta toda a base de usuários da empresa, incluindo modelos de webcam que dependem da plataforma para trabalhar.

A Lovense é uma das maiores fabricantes de brinquedos sexuais conectados à internet do mundo, conhecida por produtos como Lush, Gush e Kraken. A empresa ganhou destaque em 2023 ao se tornar uma das primeiras do setor a integrar o ChatGPT em seus produtos. No entanto, quando algo dá errado, esses produtos são uma ameaça à segurança e privacidade dos usuários.

O grande problema disso tudo é que muitos usuários da Lovense são cam models que compartilham publicamente seus nomes de usuário para interagir com seguidores, mas obviamente não querem ter seus e-mails pessoais expostos. A falha permite que qualquer pessoa mal-intencionada converta facilmente um nome de usuário público em um endereço de e-mail privado, abrindo caminho para ataques de doxxing, assédio online e comprometimento completo da conta.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Ataque pode ser executado em segundos

BobDaHacker descobriu a vulnerabilidade de forma casual ao usar o aplicativo da Lovense. “Tudo começou quando eu estava usando o app da Lovense e silenciei alguém. Só isso. Apenas silenciei a pessoa. Mas então vi a resposta da API e pensei… espera, isso é um endereço de e-mail? Por que isso está aí?”, relatou o pesquisador em seu blog.

Resposta da API da Lovense expunha endereço de e-mail dos usuários silenciados (Imagem: Reprodução/BobDaHacker)

A exploração da falha segue um processo técnico que pode ser concluído em menos de um segundo com um script automatizado. O atacante primeiro faz uma requisição POST para o endpoint /api/wear/genGtoken usando suas próprias credenciais, obtendo um token de autenticação (gtoken) e chaves de criptografia AES-CBC. Em seguida, pega qualquer nome de usuário público da Lovense e o criptografa usando essas chaves.

O payload criptografado é então enviado para outro endpoint (/app/ajaxCheckEmailOrUserIdRegisted?email={username_criptografado}), que retorna dados do usuário incluindo um e-mail falso. O passo crucial acontece no servidor XMPP da Lovense, usado para comunicação entre usuários. O atacante converte o e-mail falso para o formato JID (Jabber ID), adiciona-o à sua lista de contatos e envia uma solicitação de presença.

Quando o atacante atualiza sua lista de contatos, o servidor XMPP retorna tanto o JID falso quanto o real da vítima. O problema é que o JID real é construído usando o endereço de e-mail verdadeiro do usuário no formato usuario!!!dominio.com_w@im.lovense.com, permitindo que atacantes extraiam facilmente o e-mail real. Por exemplo, se o sistema retornar joao!!!gmail.com_w@im.lovense.com, o e-mail verdadeiro é joao@gmail.com.

Com o e-mail da vítima em mãos, os cibercriminosos podem explorar uma segunda vulnerabilidade ainda mais grave: a geração de tokens de autenticação sem necessidade de senha. Usando apenas o endereço de e-mail, é possível criar tokens válidos que funcionam em várias plataformas da Lovense, incluindo Lovense Extension, Lovense Connect, StreamMaster e Cam101. Esses tokens chegaram a funcionar até mesmo em contas administrativas, dando aos atacantes controle total sobre as contas das vítimas.

Falha dada como corrigida ainda podia ser explorada por hackers (Imagem: Reprodução/BobDaHacker)

Problema é antigo e existe desde 2023

Após a publicação inicial do BobDaHacker, a engenheira de software Krissy revelou no X (antigo Twitter) que ela e seu colega @SkeletalDemise já haviam descoberto exatamente a mesma vulnerabilidade em setembro de 2023 — quase dois anos antes da descoberta atual.

Pior ainda: Krissy e sua equipe encontraram um método muito mais simples para explorar a falha através de um endpoint HTTP /api/getUserNameByEmailV2, que permitia converter qualquer e-mail em nome de usuário e vice-versa com uma simples chamada de API, sem a necessidade do complexo processo via XMPP descoberto por BobDaHacker.

A linha do tempo revela um padrão absurdo de negligência por parte da Lovense:

  • 4 de setembro de 2023: Krissy reporta a vulnerabilidade de sequestro de contas à Lovense via HackerOne, sendo inicialmente classificada como severidade alta.
  • 28 de setembro de 2023: A Lovense questiona Krissy, perguntando se a pesquisadora concordaria em rebaixar para severidade média. Imediatamente após, a empresa reduz unilateralmente a classificação e paga apenas US$ 350 de recompensa, alegando que “esses apps para PC estão descontinuados, muito poucos cam models ainda os utilizam”
  • Mesmo dia: A Lovense marca o problema como “resolvido” sem realmente corrigi-lo
  • Agosto de 2024: Quando Krissy solicita autorização para divulgação pública, a empresa a ignora e fecha o caso, marcando-o como “resolvido”
  • Início de 2025: O endpoint HTTP para conversão de e-mails/usernames para de funcionar e é corrigido, mas sem informar a pesquisadora original
  • Março de 2025: BobDaHacker, Eva e Rebane reportam exatamente a mesma vulnerabilidade de sequestro de contas que supostamente havia sido “corrigida” em 2023. Desta vez, quando pressionaram para classificá-la como crítica, a Lovense concordou e pagou US$ 3.000 — dez vezes mais que o valor pago para Krissy pelo mesmo problema
  • Julho de 2025: As vulnerabilidades ainda não estão totalmente corrigidas, com o sistema ainda gerando tokens inválidos

O caso fica ainda mais grave quando consideramos que pesquisadores relataram problemas similares desde 2022. O pesquisador Panther encontrou a mesma falha de exposição de e-mails via XMPP naquele ano, mas também foi ignorado pela empresa ao tentar reportar o problema.

Vulnerabilidade não é a única nos brinquedos eróticos

Diante dessa timeline, é óbvio que a Lovense tem um histórico preocupante de falhas de segurança, que vão muito além dos problemas atuais. Em 2016, múltiplas vulnerabilidades na plataforma já expunham endereços de e-mail ou permitiam que atacantes determinassem se um endereço específico possuía conta na Lovense.

Durante a investigação atual, os pesquisadores descobriram ainda outro problema: um endpoint de enumeração de usuários (https://apps2.lovense.com/wear/getUserInfo?email=[email_ou_username]) que permite a qualquer pessoa verificar se um e-mail ou nome de usuário específico está registrado na plataforma. Quando uma conta existe, o sistema retorna dados incluindo o ID interno do usuário; quando não existe, retorna uma mensagem de erro clara.

Falha da Lovense expunha e-mails e contas de mais de 20 milhões de usuários (Imagem: Reprodução/LightFieldStudios/Envato)

Esse endpoint é publicamente acessível e até mesmo expõe o userId interno na resposta, revelando que esses IDs são sequenciais. Os pesquisadores conseguiram confirmar, através da criação de novas contas e verificação de seus IDs, que existem mais de 11,3 milhões de contas registradas na plataforma até 28 de julho de 2025 — todas cujos e-mails podem ser extraídos através da vulnerabilidade XMPP.

O modelo de segurança da Lovense é problemático por si só. Quando usuários geram tokens de autenticação (gtokens), a API retorna chaves de criptografia específicas da sessão que são usadas para “proteger” respostas de APIs usando AES-CBC. A empresa aparentemente acredita que obscurecer respostas de API dessa forma oferece segurança, mas qualquer usuário autenticado já possui as chaves de descriptografia em sua própria resposta de gtoken.

Além disso, a empresa codifica segredos de criptografia diretamente em seus aplicativos, passando uma falsa sensação de segurança que pode ser (e é) contornada por qualquer usuário com suas próprias chaves ou extraindo segredos codificados do aplicativo.

A arquitetura XMPP da Lovense também tem é falha, baseando-se em JIDs (Jabber IDs) que contêm diretamente os e-mails dos usuários. Esses identificadores são usados em todo o sistema: roteamento de mensagens, listas de contatos, status de presença, chats em grupo e pareamento de dispositivos. Quando seu sistema central de identificação expõe exatamente os dados que precisa proteger, há um problema de arquitetura que vai muito além de correções pontuais.

Lovense pediu 14 meses para corrigir falha

A resposta oficial da Lovense ao caso é tão preocupante quanto as próprias vulnerabilidades. Após meses de vai-e-vem sobre se os problemas estavam realmente corrigidos, a empresa surpreendeu os pesquisadores com uma declaração que beira o absurdo.

Ela informou que a correção da vulnerabilidade de exposição de e-mails exigiria um cronograma extremamente longo:

“Seguindo seu relatório, conduzimos uma investigação completa e implementamos medidas de mitigação iniciais, incluindo uma correção temporária para o problema do caminho do script identificado. No entanto, resolver a causa raiz envolve trabalho arquitetural mais profundo. Lançamos um plano de correção de longo prazo que levará aproximadamente dez meses, com pelo menos quatro meses adicionais necessários para implementar completamente uma solução completa”.

A empresa admitiu ter uma solução mais rápida, mas escolheu não implementá-la:

“Também avaliamos uma correção mais rápida, de um mês. No entanto, isso exigiria forçar todos os usuários a atualizarem imediatamente, o que perturbaria o suporte para versões legadas. Decidimos contra essa abordagem em favor de uma solução mais estável e amigável ao usuário”.

Em outras palavras, a Lovense preferiu deixar os e-mails de mais de 20 milhões de usuários expostos por 14 meses a fim de não incomodar usuários de versões antigas de seus aplicativos — uma priorização clara de conveniência sobre segurança e privacidade dos usuários.

Quando confrontada pelos pesquisadores sobre essa declaração absurda, a empresa inicialmente manteve a posição, mas depois mudou o discurso dizendo que “concordava plenamente que a privacidade dos usuários deve ter precedência sobre a compatibilidade legada.” Mesmo assim, novos prazos estabelecidos em junho (19 de junho e 3 de julho) passaram sem que as correções fossem implementadas.

Após tentativas da Lovense de silenciar BobDaHacker através de ameaças legais via HackerOne, alegando violação do código de conduta da plataforma, a pressão pública finalmente surtiu efeito. Ambas as vulnerabilidades críticas foram subitamente corrigidas em 30 de julho de 2025 — apenas dois dias após a publicação do caso.

A vulnerabilidade de exposição de e-mails que “levaria 14 meses para corrigir” foi resolvida em dois dias. O sequestro de contas que permaneceu sem correção desde 2023 também foi finalmente eliminado. Isso prova que a empresa sempre teve capacidade técnica para proteger todos seus usuários – mas simplesmente escolheu não fazê-lo até ser forçada diante do vexame público.

Leia mais no Canaltech

Leia a matéria no Canaltech.

Copyright (C) 2025 bukib.com