La agencia de juguetes sexuales Lovance está filtrando las direcciones de correo electrónico de los usuarios de su aplicación y permitiendo cuentas a la cuenta sin pedir una contraseña, dijo un investigador de seguridad. Como el informe Bobadhakhakar, quien los describe como un hacker moral y los describe como comprometidos a expresar e informar las debilidades de la protección, un manifiesto En el que acusaron a Lovans no pudo solucionar un error serio, primero se dio cuenta en 2023.
Según el hacker (y después de -verificado TechCrunch), Lovance permite que cualquier nombre de usuario se convierta en su dirección de correo electrónico con la derecha, este es un error que inicialmente descubrieron después de que se desanimó la aplicación. Con su acceso a la API de Lovance, pudieron obtener los correos electrónicos asociados con cualquier usuario público en menos de un segundo mientras ejecutaban el proceso de solicitud modificado a través de un script automático. Han notado que la naturaleza débil de estas cuentas es “especialmente mala para los modelos CAM” que usan la plataforma Lovens para el trabajo y pueden compartir sus nombres de usuario para este propósito.
El investigador también entendió que la dirección de correo electrónico de un usuario (ya sea que ya conoce o la recibida utilizando el error de expresión mencionado), puede crear Token ETH que permita tomar la cuenta relacionada sin su contraseña. Alegó que la aplicación Lovance Chrome Extension y Lovance Connect, así como el software CAM101 y StreamMaster de la compañía, incluso cuentas de administración.
Dijo Bobadkaikar En marzo de 2025, y la plataforma de protección Hacerone recibió un total de $ 3,000 para sus banderas. Después de múltiples conversaciones con representantes de novios, se les dijo a principios de junio que el error de tecnología de la cuenta se solucionó en el mes anterior, lo que el reclamo del investigador no es cierto. Sobre el error de publicación de correo electrónico, dice en Lovance El problema que imprimido por el bobdachakar puede tardar hasta 14 meses en resolver, ya que la estabilidad de un mes más rápida “Todos los usuarios deben verse obligados a actualizar de inmediato”, lo que dice “interrumpirá” el soporte para las versiones de herencia. “
El investigador también dijo que fueron contactados con un usuario de Twitter que afirmó que el mismo error de tecnología de cuenta se encontró en 2021, y después de informarlo a Lovans, se dijo que el error estaba resuelto, que no era el caso. Dijeron que un parche finalmente fijó su método, que usó un punto final HTTP para convertir un nombre de usuario en una dirección de correo electrónico, pero no se lanzó a principios de 2021. Bobadakhakar dijo que habían solicitado hacer comentarios de Lavance, pero no lo obtuvieron al momento de escribir.
Esta es la primera vez que los usuarios de Lavance se topan con la ansiedad por la privacidad. En 2017, un reddator que permitió la aplicación Lovaise, que permite a los usuarios controlar sus juguetes sexuales desde lejos, registra audio sin su consentimiento y la guarda en su teléfono. Reddit La persona que dice ser un representante amoroso ha llamado a la grabación de un “error de software menor” que influyó en la versión de la aplicación de la aplicación de la aplicación y dijo en ese momento que se solucionó en una actualización.
