Si è scoperto che i vibratori telecomandati sono hackerabili. "Una perdita potrebbe avere gravi conseguenze"

Lovense, produttore di sex toy intelligenti, ha lottato per mesi con una vulnerabilità di sicurezza, scoperta da un hacker etico a marzo. I malintenzionati erano in grado di accedere agli account utente di vibratori telecomandati senza password. Anche gli indirizzi email associati a questi account erano tracciabili. La vulnerabilità è stata successivamente risolta, ha annunciato Lovense in un comunicato.

L'azienda di Hong Kong, che vanta oltre venti milioni di utenti, produce vibratori, ovetti vibranti e plug anali controllabili tramite un'app Bluetooth. L'app consente agli utenti di controllare a distanza le vibrazioni dei dispositivi.

Questa potrebbe essere una soluzione per le persone che vivono relazioni a distanza, come pubblicizza il sito web dell'azienda. Lovense fornisce anche servizi alle webcam model per siti erotici come OnlyFans. Ad esempio, possono far pagare agli spettatori la vibrazione dei sex toy durante una diretta streaming.

Opportunità

La vulnerabilità è stata segnalata per la prima volta in un post sul blog da un hacker etico che si fa chiamare BobDaHacker. L'hacker, che desidera rimanere anonimo, ha dichiarato a questo giornale tramite l'app di messaggistica Signal di aver scoperto accidentalmente la vulnerabilità mentre "giocava" con l'app. Ha bloccato il suo ex amante e ha osservato i dati che l'app ha successivamente scambiato con il server. Tra questi c'era anche l'indirizzo email dell'ex amante.

L'ethical hacker ha segnalato la vulnerabilità a Lovense a marzo, ma l'azienda non ha risposto in modo adeguato. Pertanto, ha deciso di rivelare la vulnerabilità all'inizio di questa settimana. Questo l'ha portata a contattare un altro ethical hacker, che le ha detto di aver già segnalato la stessa vulnerabilità software all'azienda nel 2023.

Tre giorni dopo il post sul blog di BobDaHacker, Lovense ha rilasciato un nuovo aggiornamento automatico per l'app, risolvendo la vulnerabilità. Lovense ha scritto in unadichiarazione sul suo sito web di voler garantire che l'aggiornamento fornisse una protezione duratura e di "non voler affrettare" il processo. L'azienda ha inoltre dichiarato di non aver trovato prove che i dati degli utenti fossero stati effettivamente consultati.

"Non conosco i processi in atto, ovviamente, ma penso che sia difficile [per l'azienda] affermarlo con certezza", afferma Steven Derks, membro del consiglio di amministrazione della fondazione Privacy First. "Considero molto elevato il rischio di una violazione dei dati, ovvero l'accesso o il furto di dati personali".

Scioccante

Una fuga di notizie del genere potrebbe avere gravi conseguenze, afferma Derks. "Le cam model che utilizzano questi prodotti spesso operano sotto pseudonimo. Se si riesce a collegare un indirizzo email a questo, si può scoprire rapidamente di più su una persona. Questo apre la strada a ricatti, doxing [pubblicazione di informazioni personali online] e intimidazioni".

Derks ritiene che la fuga di notizie violi la privacy anche in un altro modo: "Si può davvero violare l'integrità fisica di qualcuno nel momento in cui si hackera un account e si controlla un sex toy". Definisce "scioccante" il fatto che l'azienda abbia aspettato almeno quattro mesi per riparare la fuga di notizie. Derks: "Ci si aspetterebbe che un produttore di sex toy così importante avesse messo a punto la propria sicurezza".

Easytoys e Bol.com, tra gli altri, vendono i sex toy Lovense. All'inizio di questa settimana, i negozi online hanno annunciato la sospensione delle vendite in seguito alle segnalazioni della fuga di notizie pubblicate sul quotidiano AD . Ora che la fuga di notizie è stata risolta, i quaranta prodotti erotici sono nuovamente in vendita su Bol.com, ha dichiarato un portavoce a NRC . Il negozio online afferma di non prendere la questione alla leggera. "Rimaniamo in stretto contatto con il nostro distributore e chiediamo un'attenta supervisione di Lovense". Easytoys afferma inoltre che riprenderà a vendere i sex toy.