Fabrikant seksspeeltjes zit met ernstig lek: e-mailadressen van gebruikers op straat, accounts kunnen overgenomen worden
Het bedrijf in kwestie is Lovense, een van de grootste fabrikanten van seksspeeltjes die met het internet verbonden zijn. Denk daarbij aan bijvoorbeeld vibrators die je van op afstand, via het internet, kan controleren. Wereldwijd zouden meer dan 20 miljoen mensen hun producten gebruiken. Deze week kwam een ernstig beveiligingslek in de app van Lovense naar buiten, maar pas nadat het bedrijf weigerde om het lek snel te dichten, wat in principe nochtans mogelijk was geweest.
Toegang tot alle e-mailadressen én accounts
Het lek werd ontdekt door een beveiligingsonderzoeker onder de naam BobDaHacker. Hij ontdekte dat het mogelijk was om via de app van Lovense aan het e-mailadres van elke gebruiker te geraken. Bij normaal gebruik zie je het e-mailadres van andere gebruikers niet, maar door een tool voor netwerkanalyse te gebruiken komt er een hoop extra data beschikbaar, waaronder het e-mailadres van gebruikers waar je interactie mee hebt in de app. Die interactie kan bijvoorbeeld ook gewoon het blokkeren van een profiel zijn.
Het was dus erg eenvoudig om van elke gebruiker het e-mailadres te achterhalen. BobDaHacker ontwikkelde zelfs een automatisatie waardoor het makkelijk was om snel het e-mailadres van een specifieke gebruiker te krijgen. Daar bleef het echter niet bij. Vervolgens werd ook nog een kwetsbaarheid ontdekt waarbij het mogelijk was om accounts van gebruikers over te nemen. Daarvoor was enkel een e-mailadres nodig, wat via het eerste lek dus al verkregen kon worden. Via de exploit konden aan de hand van het e-mailadres zonder wachtwoord authenticatietokens gecreëerd worden, waarmee je dan toegang kan krijgen tot het account van de gebruiker in kwestie.
Vanzelfsprekend gaat het om een ernstig beveiligingslek. Sowieso is het al ernstig wanneer e-mailadressen op straat liggen en accounts overgenomen kunnen worden, maar in dit geval gaat het vaak ook om extra gevoelige data. Gebruikers doen vaak een beroep op nicknames omdat ze hun echte identiteit niet willen onthullen, maar via hun e-mailadres, dat in principe dus niet toegankelijk is voor andere gebruikers, kan hun echte identiteit soms wel nog aan het licht komen. Bovendien worden de producten van Lovense vaak gebruikt door webcammodellen, die hun echte identiteit ook het liefst geheimhouden. Een dergelijk lek zet dan de deur open voor ernstig misbruik.
Getreuzel bij Lovense
BobDaHacker bracht Lovense op 26 maart al op de hoogte van de kwetsbaarheden. Dat gebeurde via Internet of Dongs, een project dat in het leven is geroepen om de beveiliging en privacy rond seksspeeltjes te bevorderen. Een fix liet echter op zich wachten. Toen Lovense er vervolgens bewust voor koos om een snelle oplossing naast zich neer te leggen, besloot BobDaHacker om ermee naar buiten te komen.
Doorgaans krijgen bedrijven van ethische hackers drie maanden de tijd om een probleem op te lossen alvorens ze het openbaar maken om het grote publiek te waarschuwen. Ook Lovense leek die tijd te hebben gekregen, maar uiteindelijk besloot het bedrijf blijkbaar om een fix die slechts één maand tijd zou kosten niet in te zetten. Dat zou klanten met oudere producten immers dwingen om hun app meteen te upgraden en dat zou een te groot ongemak zijn geweest. In plaats daarvan wilde Lovense een fix gebruiken die in totaal 14 maanden in beslag zou nemen, maar voor een exploit van deze grootorde is dat natuurlijk onaanvaardbaar lang.
Overigens zijn er aanwijzingen dat het lek eind 2023 al ontdekt was door een andere onderzoeker. Lovense sloot de melding toen af en liet uitschijnen dat het lek gedicht was, terwijl dat in de praktijk allesbehalve het geval zou zijn geweest.
Dan toch een fix
In hoeverre de exploit effectief misbruikt is geweest, is niet duidelijk, maar hoe dan ook is de hele zaak niet goed voor de reputatie van Lovense. Zoals wel vaker, is ook hier pas echt actie ondernomen toen alles openbaar gemaakt werd.
In een reactie liet een woordvoerder weten dat de bug die het overnemen van accounts mogelijk maakte al opgelost is. De kwestie van de e-mailadressen zou in de loop van de komende week via een verplichte update worden aangepakt, wat dus inhoudt dat dat lek momenteel nog actief is. Lovense wilde zich er trouwens niet toe verbinden klanten effectief op de hoogte te brengen van de kwetsbaarheden.
