Ferngesteuerte Vibratoren waren hackbar. „Leck könnte schwerwiegende Folgen haben“
%2Fs3%2Fstatic.nrc.nl%2Fwp-content%2Fuploads%2F2025%2F08%2F01223745%2Fdata135644224-46bc70.jpg&w=1280&q=100)
Lovense, ein Hersteller von smartem Sexspielzeug, kämpfte monatelang mit einer Sicherheitslücke, die im März von einem ethischen Hacker entdeckt wurde. Böswillige Akteure konnten ohne Passwort auf die Benutzerkonten ferngesteuerter Vibratoren zugreifen. Auch die mit diesen Konten verknüpften E-Mail-Adressen waren nachverfolgbar. Die Sicherheitslücke sei inzwischen geschlossen worden, teilte Lovense in einer Erklärung mit.
Das Hongkonger Unternehmen, das nach eigenen Angaben über zwanzig Millionen Nutzer hat, produziert Vibratoren, vibrierende Eier und Analplugs, die über eine Bluetooth-App gesteuert werden können. Über die App können Nutzer die Vibrationen der Geräte fernsteuern.
Dies könnte eine Lösung für Menschen in Fernbeziehungen sein, heißt es auf der Website des Unternehmens. Lovense bietet auch Dienstleistungen für Webcam-Models für Erotikseiten wie OnlyFans an. Sie können beispielsweise von den Zuschauern Geld dafür verlangen, dass sie die Spielzeuge während eines Live-Streams vibrieren lassen.
ChanceDie Sicherheitslücke wurde erstmals in einem Blogbeitrag eines ethischen Hackers namens BobDaHacker gemeldet. Die Hackerin, die anonym bleiben möchte, teilte dieser Zeitung über die Messaging-App Signal mit, dass sie die Sicherheitslücke zufällig entdeckt habe, als sie mit der App herumexperimentiert habe. Sie blockierte ihren Ex-Geliebten und beobachtete die Daten, die die App anschließend mit dem Server austauschte. Darunter befand sich auch die E-Mail-Adresse des Ex-Geliebten.
Die ethische Hackerin meldete Lovense die Sicherheitslücke im März, doch das Unternehmen reagierte nicht angemessen. Daher beschloss sie, die Sicherheitslücke Anfang dieser Woche offenzulegen. Dies führte sie zu einem anderen ethischen Hacker, der ihr mitteilte, dass sie dem Unternehmen dieselbe Software-Sicherheitslücke bereits 2023 gemeldet hatten.
Drei Tage nach BobDaHackers Blogbeitrag veröffentlichte Lovense ein neues automatisches Update für die App, das die Sicherheitslücke schloss. Lovense erklärte in einerErklärung auf seiner Website, man wolle sicherstellen, dass das Update dauerhaften Schutz biete, und wolle den Prozess nicht überstürzen. Das Unternehmen erklärte außerdem, es habe keine Hinweise darauf gefunden, dass tatsächlich auf Nutzerdaten zugegriffen wurde.
„Ich kenne die Prozesse dort natürlich nicht, aber ich denke, es ist schwierig [für das Unternehmen], dies mit Sicherheit zu sagen“, sagt Steven Derks, Vorstandsmitglied der Stiftung Privacy First. „Ich halte das Risiko eines Datenlecks, also des Zugriffs auf oder des Diebstahls personenbezogener Daten, für sehr hoch.“
SchockierendEin solcher Leak könne schwerwiegende Folgen haben, sagt Derks. „Die Cam-Models, die diese Produkte ebenfalls nutzen, agieren oft unter Pseudonymen. Lässt sich eine E-Mail-Adresse damit verknüpfen, lässt sich schnell mehr über die Person herausfinden. Das ebnet den Weg für Erpressung, Doxing (Veröffentlichung persönlicher Daten im Internet) und Einschüchterung.“
Derks glaubt auch, dass das Leck die Privatsphäre auf andere Weise verletzt: „Man kann die körperliche Unversehrtheit einer Person ernsthaft verletzen, sobald man sich in ein Konto hackt und ein Sexspielzeug kontrolliert.“ Er nennt es „schockierend“, dass das Unternehmen mindestens vier Monate gewartet hat, um das Leck zu schließen. Derks: „Man sollte von einem so großen Hersteller von Sexspielzeug erwarten, dass seine Sicherheit im Griff ist.“
Unter anderem Easytoys und Bol.com verkaufen Lovense-Sexspielzeug. Anfang der Woche kündigten die Online-Shops nach Berichten über das Leck in der Zeitung AD einen Verkaufsstopp an. Nach der Behebung des Lecks werden die vierzig Erotikprodukte nun wieder auf Bol.com angeboten, so ein Sprecher gegenüber NRC . Der Online-Shop nimmt die Angelegenheit ernst: „Wir stehen in engem Kontakt mit unserem Vertriebspartner und fordern eine strenge Überwachung von Lovense.“ Auch Easytoys kündigte an, den Verkauf der Sexspielzeuge wieder aufzunehmen.
nrc.nl