Vibradores controlados remotamente foram descobertos como passíveis de hacking. 'Vazamento pode ter consequências graves'

A Lovense, fabricante de brinquedos sexuais inteligentes, lutou durante meses com uma vulnerabilidade de segurança descoberta por um hacker ético em março. Criminosos conseguiram acessar as contas de usuários de vibradores controlados remotamente sem precisar de senha. Os endereços de e-mail associados a essas contas também foram rastreáveis. A vulnerabilidade já foi corrigida, anunciou a Lovense em um comunicado.

A empresa de Hong Kong, que afirma ter mais de vinte milhões de usuários, produz vibradores, ovos vibratórios e plugs anais que podem ser controlados por meio de um aplicativo Bluetooth. O aplicativo permite que os usuários controlem remotamente as vibrações dos dispositivos.

Esta poderia ser uma solução para pessoas em relacionamentos à distância, anuncia o site da empresa. A Lovense também oferece serviços para modelos de webcam para sites eróticos como o OnlyFans. Eles podem, por exemplo, cobrar dos espectadores para fazer os brinquedos vibrarem durante uma transmissão ao vivo.

Chance

A vulnerabilidade foi relatada pela primeira vez em uma publicação de blog por um hacker ético que se autodenomina BobDaHacker. A hacker, que prefere permanecer anônima, contou a este jornal, por meio do aplicativo de mensagens Signal, que descobriu a vulnerabilidade acidentalmente enquanto "brincava" com o aplicativo. Ela bloqueou o ex-namorado e observou os dados que o aplicativo posteriormente trocou com o servidor. O endereço de e-mail do ex-namorado estava entre eles.

A hacker ética relatou a vulnerabilidade à Lovense em março, mas a empresa não respondeu adequadamente. Por isso, ela decidiu divulgar a vulnerabilidade no início desta semana. Isso a levou a outro hacker ético, que lhe disse já ter relatado a mesma vulnerabilidade de software à empresa em 2023.

Três dias após a publicação do blog de BobDaHacker, a Lovense lançou uma nova atualização automática para o aplicativo, corrigindo a vulnerabilidade. A Lovense escreveu em umcomunicado em seu site que queria garantir que a atualização oferecesse proteção duradoura e "não queria apressar" o processo. A empresa também afirmou não ter encontrado nenhuma evidência de que os dados dos usuários tivessem sido realmente acessados.

"Não conheço os processos lá, é claro, mas acho difícil [para a empresa] afirmar isso com certeza", diz Steven Derks, membro do conselho da fundação Privacy First. "Considero o risco de uma violação de dados, ou seja, acesso ou roubo de dados pessoais, muito alto."

Chocante

Tal vazamento pode ter consequências graves, diz Derks. "As modelos de webcam que também usam esses produtos costumam operar sob pseudônimos. Se você puder vincular um endereço de e-mail a isso, poderá descobrir mais sobre uma pessoa rapidamente. Isso abre caminho para chantagem, doxing [publicação de informações pessoais online] e intimidação."

Derks também acredita que o vazamento viola a privacidade de outra forma: "Você pode realmente violar a integridade física de alguém no momento em que invade uma conta e controla um brinquedo sexual". Ele considera "chocante" que a empresa tenha esperado pelo menos quatro meses para corrigir o vazamento. Derks: "Era de se esperar que um fabricante tão grande de brinquedos íntimos tivesse sua segurança em ordem."

A Easytoys e a Bol.com, entre outras, vendem brinquedos sexuais Lovense. No início desta semana, as lojas online anunciaram a suspensão das vendas após relatos do vazamento no jornal AD . Agora que o vazamento foi resolvido, os quarenta produtos eróticos estão sendo oferecidos novamente para venda na Bol.com, informou um porta-voz à NRC . A loja online afirma que não está encarando o assunto levianamente. "Mantemos contato próximo com nosso distribuidor e exigimos supervisão rigorosa da Lovense." A Easytoys também afirma que retomará a venda dos brinquedos sexuais.