Le fabricant de jouets sexuels Lovense a été surpris en train de divulguer les adresses e-mail de ses utilisateurs et d'exposer leurs comptes à des prises de contrôle.

Un chercheur en sécurité affirme que le fabricant de jouets sexuels Lovense n'a pas réussi à corriger complètement deux failles de sécurité qui exposent l'adresse e-mail privée de ses utilisateurs et permettent la prise de contrôle du compte de n'importe quel utilisateur.

Le chercheur, connu sous le nom de BobDaHacker, a publié lundi les détails des bugs après que Lovense a affirmé qu'il lui faudrait 14 mois pour corriger les failles afin de ne pas gêner les utilisateurs de certains de ses anciens produits.

Lovense est l'un des plus grands fabricants de sextoys connectés et compterait plus de 20 millions d'utilisateurs . L'entreprise a fait parler d'elle en 2023 en devenant l'un des premiers fabricants de sextoys à intégrer ChatGPT à ses produits .

Mais les risques de sécurité inhérents à la connexion de jouets sexuels à Internet peuvent exposer les utilisateurs à des risques réels en cas de problème, notamment en cas de verrouillage des appareils et de fuites de données confidentielles .

BobDaHacker a déclaré avoir découvert que Lovense divulguait les adresses e-mail d'autres utilisateurs lors de l'utilisation de l'application. Bien que les adresses e-mail des autres utilisateurs ne soient pas visibles dans l'application, toute personne utilisant un outil d'analyse réseau pour inspecter les données entrantes et sortantes pouvait voir l'adresse e-mail de l'autre utilisateur lors d'interactions avec lui, par exemple en le désactivant.

En modifiant la demande réseau à partir d'un compte connecté, BobDaHacker a déclaré qu'ils pouvaient associer n'importe quel nom d'utilisateur Lovense à leur adresse e-mail enregistrée, exposant potentiellement tout client qui s'est inscrit à Lovense avec une adresse e-mail identifiable.

« C'était particulièrement mauvais pour les modèles de webcam qui partagent leurs noms d'utilisateur publiquement mais ne veulent évidemment pas que leurs e-mails personnels soient exposés », a écrit BobDaHacker dans son article de blog.

TechCrunch a vérifié ce bug en créant un nouveau compte sur Lovense et en demandant à BobDaHacker de révéler notre adresse e-mail enregistrée, ce qu'ils ont fait en une minute environ. En automatisant le processus grâce à un script informatique, les chercheurs ont déclaré pouvoir obtenir l'adresse e-mail d'un utilisateur en moins d'une seconde.

BobDaHacker a déclaré qu'une deuxième vulnérabilité lui permettait de prendre le contrôle du compte de n'importe quel utilisateur Lovense en utilisant uniquement son adresse e-mail, ce qui pourrait être lié au bug précédent. Ce bug permet à quiconque de créer des jetons d'authentification pour accéder à un compte Lovense sans mot de passe, permettant ainsi à un attaquant de contrôler le compte à distance comme s'il était le véritable utilisateur.

« Les modèles webcam utilisent ces outils pour travailler, c'était donc un véritable atout. N'importe qui pouvait prendre le contrôle d'un compte simplement en connaissant son adresse e-mail », a déclaré BobDaHacker.

Les bugs affectent toute personne possédant un compte ou un appareil Lovense.

BobDaHacker a révélé les bugs à Lovense le 26 mars via Internet of Dongs , un projet qui vise à améliorer la sécurité et la confidentialité des jouets sexuels, et aide à signaler et à divulguer les failles aux fabricants d'appareils .

Selon BobDaHacker, ils ont reçu un total de 3 000 $ via le site de bug bounty HackerOne. Mais après plusieurs semaines de discussions pour savoir si les bugs avaient été corrigés, le chercheur a rendu l'affaire publique cette semaine, Lovense ayant demandé 14 mois pour corriger les failles. (Les chercheurs en sécurité accordent généralement aux fournisseurs trois mois ou moins pour corriger un bug de sécurité avant de publier leurs conclusions.) L'entreprise a indiqué à BobDaHacker dans le même courriel qu'elle avait renoncé à une « correction plus rapide d'un mois », qui aurait obligé les clients utilisant d'anciens produits à mettre à jour leurs applications immédiatement.

Le chercheur a informé l'entreprise avant la divulgation, selon un courriel consulté par TechCrunch. BobDaHacker a déclaré dans un article de blog publié mardi que le bug avait peut-être été identifié par un autre chercheur dès septembre 2023, mais qu'il aurait été corrigé sans correction.

Lovense n'a pas répondu à un e-mail de TechCrunch.