Lovense, producent van slimme seksspeeltjes, kampte maandenlang met een beveiligingslek, ontdekte een ethisch hacker in maart. Kwaadwillenden konden de gebruikersaccounts van op afstand bestuurbare vibrators binnendringen zonder wachtwoord. Ook waren de e-mailadressen achter de accounts te achterhalen. Inmiddels is het lek gedicht, meldt Lovense in een verklaring.
Het bedrijf uit Hongkong, dat naar eigen zeggen meer dan twintig miljoen gebruikers heeft, produceert onder meer vibrators, trillende eitjes en buttplugs die met een app via bluetooth aangestuurd kunnen worden. Via de app kunnen gebruikers op afstand de trillingen van de apparaten aansturen.
Dat kan een uitkomst zijn voor mensen in een lange afstandsrelatie, prijst de website van het bedrijf de producten aan. Ook levert Lovense diensten aan webcammodellen van erotische sites als OnlyFans. Zij kunnen hun kijkers bijvoorbeeld geld laten betalen om de speeltjes tijdens een livestream te laten vibreren.
Toeval
Over het lek is voor het eerst bericht in een blogpost van een ethische hacker die zich BobDaHacker noemt. De hacker heeft zelf een account bij Lovense en ontdekte het lek per toeval toen ze „aan het rommelen was” in de app, schrijft de hacker, die anoniem wil blijven, aan deze krant via berichtenapp Signal. Ze blokkeerde haar ex-geliefde en observeerde de gegevens die de app daarop uitwisselde met de server. Daar bleek het e-mailadres van de ex tussen te staan.
In maart meldde de ethisch hacker het lek al bij Lovense, maar een adequate reactie van het bedrijf bleef uit. Daarom besloot ze om het lek begin deze week openbaar te maken. Zo kwam ze in contact met een andere ethisch hacker, die haar vertelde dezelfde kwetsbaarheid in de software al in 2023 bij het bedrijf te hebben gemeld.
Drie dagen na de blogpost van BobDaHacker bracht Lovense een nieuwe automatische update van de app uit en was het lek gedicht. Lovense schrijft in een verklaring op de website dat ze zeker wilden weten dat de update blijvende bescherming zou bieden en wilden dit proces „niet overhaasten”. Ook zegt het bedrijf geen bewijs te hebben gevonden dat er daadwerkelijk toegang zou zijn verkregen tot gebruikersgegevens.
„Ik ken de processen daar natuurlijk niet, maar ik denk dat het lastig is [voor het bedrijf] om dit met zekerheid te zeggen”, zegt Daan Klerks, bestuurslid van de stichting Privacy First. „Ik acht de kans van een datalek, dus inzage of diefstal van persoonsgegevens, erg groot.”
‘Stuitend’
Zo’n lek kan serieuze gevolgen hebben, zegt Klerks. „De cammodellen die deze producten ook gebruiken, opereren vaak onder pseudoniemen. Als je daar een emailadres aan kunt koppelen, kun je al snel meer over een persoon achterhalen. Dat maakt de weg vrij naar chantage, doxing [online publiceren van perssoonsgegevens] en intimidatie.”
Ook op een andere manier is het lek volgens Klerks een schending van privacy: „Je kunt echt iemands lichamelijke integriteit schenden op het moment dat je een account binnendringt en een seksspeeltje bestuurt.” Dat het bedrijf zeker vier maanden heeft gewacht met het dichten van het lek, noemt hij „stuitend”. Klerks: „Van zo’n grote fabrikant van intieme speeltjes zou je verwachten dat ze de beveiliging goed op orde hebben.”
Onder meer Easytoys en Bol.com verkopen de seksspeeltjes van Lovense. Eerder deze week maakten de webshops bekend de verkoop stil te leggen, na berichtgeving over het lek in het AD. Nu dit is gedicht worden de veertig erotische producten weer op Bol.com te koop aangeboden, zegt een woordvoerder tegen NRC. De webshop zegt de zaak niet licht op te vatten. „We blijven nauw contact houden met onze distributeur en eisen nauwlettend toezicht op Lovense.” Ook Easytoys zegt de verkoop van de seksspeeltjes weer te hervatten.
