Populaire op afstand bestuurbare seksspeeltjes van het merk Lovense zijn tijdelijk niet meer verkrijgbaar via webshops als Bol.com en EasyToys. Aanleiding is een ernstig beveiligingslek in de app van het bedrijf, dat wereldwijd zeker 20 miljoen gebruikers heeft. Het lek stelt kwaadwillenden in staat om persoonlijke gegevens, zoals e-mailadressen en gebruikersnamen, eenvoudig te achterhalen. Experts slaan alarm en waarschuwen voor de impact op gebruikers binnen de online seksscene, die vaak bewust onder pseudoniem opereren om hun identiteit te beschermen.
Lovense, een technologiebedrijf uit Hong Kong, is bekend om zijn innovatieve speeltjes die via een app op afstand te bedienen zijn. In maart ontdekte een ethisch hacker een zwakke plek in de beveiliging van de Lovense-app. Via een relatief simpele truc kon hij binnen seconden de bijbehorende e-mailadressen opvragen van gebruikers die iemand in de app ‘gedempt’ hadden. Ondanks een directe melding aan het bedrijf, bleef een passende oplossing maandenlang uit.
Begin deze week werden Bol.com en EasyToys door deze site geconfronteerd met de details van het lek. Beide bedrijven besloten daarop de verkoop van alle Lovense-producten per direct stil te leggen. Distributeur EQOM heeft inmiddels een intern onderzoek aangekondigd. “Wij nemen dit zeer serieus. Indien nodig zullen wij klanten actief informeren en passende waarschuwingen toevoegen,” aldus een woordvoerder.
Gevaar voor gebruikers in intieme situaties
Volgens beveiligingsonderzoeker BobDaHacker zit de kwetsbaarheid in de communicatie tussen de app en de servers van Lovense. Door een aangepaste serveraanvraag te sturen, kon hij elke gebruikersnaam direct omzetten in een bijbehorend e-mailadres. Met name webcammodellen, gebruikers van OnlyFans en koppels die de speeltjes samen gebruiken, lopen daardoor risico. Omdat deze gebruikers doorgaans nepnamen hanteren, kan het uitlekken van hun e-mailadres leiden tot de-anonimisering.
OnlyFans-model Rachel, die zelf Lovense-producten promoot, reageert verontwaardigd: “Ik vind het raar dat zij hier in de app niets over zeggen. Dat is gewoon niet netjes.” Ook haar collega StephanieDutchie, gebruiker van de populaire Lovense Lush, was tot voor kort volledig onwetend over het lek.
Mogelijkheid tot overname van seksspeeltjes
Beveiligingsexperts waarschuwen dat de situatie ernstiger is dan alleen het lekken van gegevens. Via zogeheten authenticatietokens zouden kwaadwillenden in bepaalde gevallen zelfs volledige controle over een Lovense-account kunnen krijgen. Daarmee zouden ze op afstand de speeltjes van gebruikers kunnen aansturen. Voor zover bekend zijn er nog geen incidenten gemeld, maar alleen al de mogelijkheid is voldoende om grote zorgen te baren.
“Dit raakt direct aan de lichamelijke integriteit van mensen,” aldus een woordvoerder van Privacy First. “We hebben het hier niet over abstracte databescherming, maar over apparaten die daadwerkelijk op of in het lichaam worden gebruikt.”
Traagheid en zwijgen zorgen voor frustratie
De manier waarop Lovense met het lek is omgegaan, stuit op felle kritiek. Hoewel het bedrijf in maart op de hoogte werd gesteld, kwam er pas eind juli een update die het lek zou verhelpen. En zelfs die update is nog niet voor alle gebruikers beschikbaar. Volgens critici wijst dit op een gebrek aan urgentie bij het bedrijf. “Een bedrijf dat actief is in zo’n intiem domein moet beveiliging en transparantie tot topprioriteit maken,” aldus Dave Maasland, ceo van het cyberbeveiligingsbedrijf ESET Nederland.
Eerdere onderzoeken van ESET toonden al aan dat Lovense-speeltjes via Bluetooth gemakkelijk detecteerbaar zijn. Zo bleek een speeltje als de We-Vibe Jive in een straal van acht meter gevonden te kunnen worden door derden.
Reactie vanuit de sector
EasyToys heeft naar eigen zeggen contact opgenomen met Lovense. Op basis van een summiere eerste verklaring is besloten de producten voorlopig uit de webshop te verwijderen. “Zonder duidelijke bevestiging dat de kwetsbaarheden zijn opgelost, zullen wij een waarschuwing op onze site plaatsen,” aldus een woordvoerder.
Ook Bol.com neemt het incident serieus en voert overleg met instanties als de Nederlandse Voedsel- en Warenautoriteit (NVWA). “We willen zeker weten dat de privacy en veiligheid van onze klanten gewaarborgd is.”
Lovense heeft tot nu toe geweigerd om inhoudelijk op de aantijgingen in te gaan. “We voeren een intern onderzoek uit en vragen om geduld,” luidt het officiële commentaar. Bij techmedia als TechCrunch verklaarde het bedrijf dat de app een update heeft gekregen “die de meest recente kwetsbaarheden aanpakt”. Verdere toelichting bleef echter uit. Lovense waarschuwde ook dat “sommige media mogelijk onjuiste berichtgeving verspreiden”, maar onderbouwde dat niet.
Structurele tekortkomingen
Volgens Privacy First is het gebrek aan snelle actie van Lovense ronduit schokkend. “Dat het maanden heeft geduurd voordat er een patch kwam, is onacceptabel. Zeker bij producten die zo diep in het privéleven van mensen doordringen, moet de AVG strikt worden nageleefd. Een serieus bedrijf lost kritieke lekken onmiddellijk op en communiceert daar proactief over met zijn klanten. Commercieel gemak mag nooit boven veiligheid gaan.”
De kwestie heeft grote gevolgen, ook voor het vertrouwen in de bredere markt voor slimme seksspeeltjes. De afgelopen jaren is de populariteit van deze producten explosief gestegen, met name sinds de coronacrisis. Maar nu blijkt dat technologische innovatie zonder robuuste beveiliging ook een ernstige bedreiging kan vormen voor de gebruikers. De sector zal zich opnieuw moeten bewijzen – met privacy, veiligheid en transparantie als harde voorwaarden.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack