E-mail címek nyilvánossága
A hiba lényege, hogy bárki, aki ismeri valamelyik publikus Lovense-felhasználónevet, másodpercek alatt megszerezheti a hozzá tartozó e-mail címet. BobDaHacker automatizált szkripttel, az API-n keresztül, szinte azonnal le tudta kérni bármely felhasználó e-mail címét. Ez különösen veszélyes azok számára, akik a Lovense-t munkához használják, például cammodellek számára, akik gyakran megosztják felhasználónevüket a közönségükkel.
Jelszó nélküli fióklopás
A kutató azt is felfedezte, hogy az így megszerzett e-mail címmel – vagy egy korábban ismerttel – különféle hitelesítési tokeneket lehet generálni, amelyekkel minden további nélkül átvehető az adott fiók feletti uralom, jelszó megadása nélkül. Ez a sebezhetőség a Lovense Connect és a Chrome-bővítmény mellett a Cam101, a StreamMaster programokat, sőt még az admin fiókokat is érintette.
Lassú reagálás, korábbi botrányok
A hiba jelentését követően a Lovense összesen mintegy 1,1 millió forintot fizetett ki a hibák bejelentéséért, de a tényleges javítás hónapokat csúszott. A cég eleinte azt állította, hogy a fióklopási hibát már májusban kijavították, ám a kutató szerint ez nem volt igaz. Az e-mail kiszivárogtatást is csak 2025 júniusának végén javították ki, de a jelentés szerint ez még mindig nem teljes. A Lovense szóvivője szerint a frissítést a következő héten mindenki megkapja, és amint az összes régi verziót letiltják, a rendszer tényleg biztonságossá válik.
A Lovense-t korábban is érte hasonló kritika: 2017-ben derült ki, hogy az alkalmazás engedély nélkül rögzített hangokat androidos telefonokon (Android). Akkor is szoftverhibára hivatkozva igyekeztek megnyugtatni a vásárlókat.
