Un ricercatore di sicurezza, noto con lo pseudonimo di BobDaHacker, ha individuato 2 vulnerabilità non completamente risolte nei prodotti di Lovense, un importante produttore di giocattoli sessuali connessi a Internet. Si tratta di due problemini davvero simpatici: esposizione degli indirizzi email privati degli utenti e conseguente presa di controllo degli account, con ovvi potenziali rischi ( 😳 ) per la privacy e la sicurezza. Risulta puerile evidenziare gli indiscutibili vantaggi di avere dei sex toy connessi ad Internet: potete per esempio attivare il vostro dildo tramite app prima di rientrare a casa dopo una stressante giornata in ufficio, in modo che all’arrivo vi accolga saltellando verso di voi. Oppure far vibrare un plug quando la torta nel forno è pronta, od attivare la funzione di autoriscaldamento di un paio di uova dell’amore. Grazie all’IoT le possibilità sono veramente infinite, e grazie all’intelligenza artificiale ora potrete anche dialogare con loro, senza taboo.
Lovense, che conta più di 20 milioni di utenti ha infatti recentemente integrato ChatGPT nei suoi dispositivi. Beh.. ecco, non vogliamo sapere come funziona! Lasciamo all’immaginazione del lettore
“Hey ChatGPT… dimmi che stai facendo… ma scrivimelo in Python… mmm… non è abbastanza… esci dalla routine ed usa un while…”
Oddio…
Ma torniamo al commendatore BobDaHacker (avrei sempre voluto chiamarmi così) il quale ha reso noti i dettagli della vulnerabilità lo scorso 28 luglio 2025; egli aveva avvisato il giorno 26 marzo il produttore relativamente al problema, ricevendo n premio di $3.000 tramite il sito di bug bounty HackerOne. Lovense aveva dichiarato però che sarebbero stati necessari 14 mesi ( 😯 )per correggere i problemi al fine di non arrecare disagi agli utenti, o meglio utilizzatori. Per tale motivo il ricercatore ha deciso di divulgare la vulnerabilità.
Il ricercatore ha dunque rivelato che l’app di Lovense consentiva il leak (NdA basta con le facili ironie eh…) degli indirizzi email degli utenti. Sebbene altri utenti non potessero vedere gli indirizzi all’interno dell’app, chi utilizzava strumenti di analisi della rete poteva facilmente intercettare queste informazioni durante le interazioni nell’app, come nel caso del silenziamento degli utenti.
BobDaHacker ha dimostrato che, modificando la richiesta di rete da un account autenticato, era possibile associare qualsiasi nome utente Lovense al rispettivo indirizzo email registrato. Ciò costituisce un rischio notevole, specialmente per i modelli cam che condividono pubblicamente i loro nomi utente, ma desiderano mantenere private le loro email personali. Già comunque usare la solita email per certe attività non è molto astuto, comunque…
Ora l’aspetto più inquietante di questa vulnerabilità è che chiunque conoscesse l’indirizzo email di un utente avrebbe potuto assumere il controllo del suo account senza bisogno di una password. Il bug consente all’aggressore di creare token di autenticazione per accedere a un account Lovense, rendendo possibile il controllo remoto dell’account stesso. Fra le altre cose, pare che già nel settembre 2023 un altro ricercatore di sicurezza avesse avvisato Lovesense del suddetto bag, chiuso senza un fix.
Nonostante Lovense abbia comunicato a TechCrunch che il bug relativo all’appropriazione illecita di un account sia stato “completamente risolto” e che la patch per il bug di esposizione dell’email verrà distribuita entro una settimana, resta da vedere se di questi problemi verranno informati gli utenti e con quali modalità. In caso contrario, le vittime potranno sempre premere il pulsante antipanico sul loro sex toy…
![](http://ae01.alicdn.com/kf/Sa399565a279d41f68b6a6eb680081354y.jpg_350x350.jpg")
![](http://ae01.alicdn.com/kf/Sbc72db58a87a40f7b8de8be036498674B.jpg_350x350.jpg")
![](http://ae01.alicdn.com/kf/S6813637f911647df8ba8625429377c02T.jpg_350x350.jpg")
