Sexspielzeug-App leakt Mail-Adressen, Hersteller tut nichts dagegen

Wer ein ferngesteuertes Sexspielzeug Zuhause herumliegen hat, hat dieses mit großer Wahrscheinlichkeit von Lovense gekauft. Das Unternehmen mit Sitz in Singapur hat sich nämlich auf die Entwicklung solcher Produkte spezialisiert und ist bereits seit mehr als 10 Jahren auf dem Markt.

Der Spaß mit dem Spielzeug hört allerdings auf, wenn man sich die IT-Sicherheit des Unternehmens ansieht. Der Sicherheitsexperten und Hacker mit den Pseudonymen BobDaHacker und Eva stellte etwa Ende März fest, dass man aus dem Usernamen des Lovense-Accounts ganz ohne Probleme die E-Mail-Adresse generieren kann, mit der man sich angemeldet hat.

E-Mail-Adressen von Camgirls

Diese Usernamen werden regelmäßig von Camgirls geteilt, damit ihre Zuseher die Sexspielzeuge via Internet bedienen können. Alleine der Leak der E-Mail-Adressen stellt also sicherheitstechnisch ein großes Problem dar. Doch es geht noch weiter: Die E-Mail-Adressen reichen nämlich aus, um große Teile des dahinterliegenden Accounts zu übernehmen. Auch das mag sich zunächst harmlos anhören, doch Lovense hilft den Camgirls auch, ihre Auftritte zu monetarisieren. Wer also das Spielzeug fernsteuern will, muss zunächst einen festgelegten Betrag dafür zahlen - über die Lovense-Systeme.

Die Hacker informierten das Unternehmen Ende März über die Schwachstellen und es passierte - nichts. 2 Monate vergingen und die Probleme waren immer noch vorhanden, bis Anfang Juni ein E-Mail von Lovense eintrudelte. Darin schrieb das Unternehmen, dass man das Problem mit der Accountübernahme bereits Anfang April gelöst hatte (was nicht stimmte), die Schwachstelle mit den E-Mail-Adressen allerdings erst im Zuge eines langfristigen Renovierungsplans angehen würde. Dieser würde 14 Monate dauern.

E-Mail-Schwachstelle schon länger bekannt

Für BobDaHacker war dieser Zeitraum nicht akzeptabel, es kam zu einem regen E-Mail-Austausch mit dem Unternehmen. Ende Juli entschloss er sich, den Blogpost auf Twitter zu teilen - nur um dann herauszufinden, dass eine ähnliche E-Mail-Schwachstelle bereits 2023 gefunden wurde und seitdem immer noch besteht.

Was auch auffällig ist: Das Unternehmen versucht die Schwere der Sicherheitslücken im Austausch mit den Sicherheitsexperten herunterzuspielen - womöglich um ein geringeres Preisgeld zu zahlen, das für das Auffinden von Sicherheitslecks ausgeschrieben ist. Schwere Bugs bringen demnach 3.000 Dollar, mittlere 1.000 Dollar und geringfügige einige Hundert Dollar.

Geizig mit Preisgeld

BobDaHacker erhielt für die Information zum E-Mail-Leak und zur Account-Übernahme jeweils 1.000 Dollar. Als er allerdings darauf bestanden hatte, dass es sich bei der Account-Übernahme um einen schweren Bug handelte, überwies ihm das Unternehmen weitere 2.000 Dollar.

Als 2023 auf die E-Mail-Schwachstelle aufmerksam gemacht wurde, wurde sie zunächst vom Unternehmen als hohes Sicherheitsrisiko bewertet. Dann wurde die Schwachstelle allerdings schnell wieder heruntergestuft, die Entdeckerin erhielt als Belohnung lediglich 350 Dollar.