El incidente se produce tras una importante filtración de datos que afectó a Tea, una popular aplicación que permite a las mujeres comentar y reseñar citas con hombres de forma anónima.
Un investigador de ciberseguridad identificó vulnerabilidades críticas en una aplicación desarrollada por el fabricante de juguetes sexuales Lovense que no solo expusieron las direcciones de correo electrónico privadas de los usuarios, sino que también permitieron a los cibercriminales secuestrar las cuentas de un usuario en la plataforma.
El investigador anónimo publicó sus hallazgos sobre las dos fallas de seguridad en la aplicación el lunes 28 de julio, utilizando el nombre de usuario BobDaHacker. Cualquiera que haya creado una cuenta en la aplicación Lovense podría haberse visto afectado debido a los dos errores.
“Podríamos haber recopilado fácilmente correos electrónicos de cualquier lista pública de nombres de usuario. Esto fue especialmente perjudicial para las modelos de webcam que comparten sus nombres de usuario públicamente, pero obviamente no quieren que sus correos electrónicos personales se expongan”, escribió BobDaHacker en su blog. “Las modelos de webcam usan estas herramientas para trabajar, así que esto fue un gran problema. Literalmente, cualquiera podría acceder a cualquier cuenta con solo conocer la dirección de correo electrónico”, añadieron.
Lovense es considerada una de las marcas más importantes que vende juguetes sexuales basados en el IoT. Tiene más de 20 millones de usuarios. En 2023, la empresa con sede en Singapur anunció que fue la primera en integrar ChatGPT de OpenAI en sus productos, según un informe de TechCrunch.
Las vulnerabilidades de seguridad recientemente descubiertas ponen de relieve los riesgos que conlleva el uso de juguetes sexuales basados en el IoT, incluyendo violaciones de la privacidad y bloqueos del dispositivo. Esto ocurre menos de una semana después de que Tea, una aplicación que permite a las mujeres comentar y reseñar anónimamente citas con hombres, anunciara haber sufrido una filtración de datos, en la que hackers obtuvieron acceso a 72.000 imágenes de usuarios.
¿Cómo ha respondido Lovense?.
BobDaHacker, el investigador, afirmó que notificaron las fallas de seguridad a Lovense el 26 de marzo de este año y obtuvieron una recompensa de 3.000 dólares a través de un programa de recompensas por errores.
El investigador explicó que decidió publicar sus hallazgos después de que Lovense, según se informa, solicitara 14 meses para corregir las fallas, ya que no querían obligar a los clientes que usaban modelos antiguos de juguetes sexuales a actualizar sus aplicaciones inmediatamente.
“La vulnerabilidad de divulgación de correo electrónico fue sorprendentemente sencilla una vez que se entendía el flujo […] Todo el proceso tardaba unos 30 segundos por nombre de usuario manualmente; con el script que creamos para automatizarlo, la conversión de un nombre de usuario a un correo electrónico tardaba menos de un segundo”, escribió BobDaHacker.
La compañía ha afirmado que ha solucionado por completo el problema de robo de cuentas. Se espera que Lovense implemente un parche de software para el problema de divulgación de correo electrónico en una actualización que se enviará a todos los usuarios la próxima semana, según TechCrunch.
