Logo TecMundo
Segurança

App de brinquedos sexuais da Lovense têm falhas que expõe dados pessoais

Marca de produtos para adultos espera que as correções tenham efeito logo, mas foi criticada por pesquisadores

Avatar do(a) autor(a): Felipe Vitor Vidal Neri
Felipe Vitor Vidal Neri

schedule29/07/2025, às 17:15

updateAtualizado em 29/07/2025, às 18:30

Um pesquisador de segurança descobriu uma falha perigosa no app de brinquedos sexuais da marca Lovense, popular com seus vibradores e dildos. A falha, caso explorada por atores maliciosos, pode expor dados pessoais de usuários, como endereços de email, e gerar ataques de doxxing e assédio, mas já está em processo de correção.

O problema foi encontrado pelo hacker ético BobDaHacker, que ao utilizar um dos aparelhos da Lovense por meio do aplicativo, encontrou um endereço de email. Bastou investigar um pouco mais para entender que era uma tarefa simples transformar qualquer nome de usuário da plataforma em um email válido, utilizado pelos clientes.

smart_display

Nossos vídeos em destaque

Além de encontrarem os emails, foi descoberta uma vulnerabilidade crítica que ao usar esse endereço eletrônico, golpistas poderiam se passar por contas já existentes na Lovense. Dessa forma, os fraudadores conseguiriam acessar apps da empresa, como o StreamMaster, Lovense Connect e Cam101, para então se conectar em perfis de usuários no OnlyFans, Chaturbate, fansly, etc.

lovense_my_ex.jpg
Com um prompt, a descoberta dos emails pode levar um segundo para acontecer (Imagem: BobDaHacker/reprodução)

Como essa brecha funciona?

A metodologia para encontrar emails na plataforma era relativamente simples, por meio de uma solicitação POST à API /api/wear/genGtoken, que então geraria um gtoken (token de autentificação). O atacante pega qualquer nome de usuário conhecido e envia novamente para a API.

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão

O servidor retorna ao golpista um endereço de email falso usado pela Lovense, e basta que o atacante converta esse endereço para um JID falso, como “tecmundo@dominio.com”. Depois, o fraudador adiciona esse JID em sua lista de contatos, e ao atualizá-la, recebe o email verdadeiro do usuário.

  • O site especializado Bleeping Computer realizou esse teste com BobdDaHacker, que confirmaram o processo e a possibilidade na obtenção desse dado;
  • As duas brechas foram sinalizadas para a Lovense em 26 de março, e na ocasião revelou que já trabalhava para corrigir os problemas;
  • Em quatro de junho, a empresa disse ter resolvido a situação, mas pesquisadores alegaram que a vulnerabilidade persistia.

Ao ser criticada por quem descobriu essas falhas, a Lovense comentou em nota recente que enviou as devidas correções para as lojas de aplicativos. “A atualização completa deverá ser disponibilizada a todos os usuários na próxima semana. Assim que todos os usuários atualizarem para a nova versão e desativarmos as versões mais antigas, esse problema será completamente resolvido”, explicou a empresa.

Para mais informações sobre segurança e brinquedos diferentes, fique ligado no site do TecMundo.

 

Perguntas Frequentes

O que foi descoberto na falha do app da Lovense?
Um pesquisador de segurança, conhecido como BobDaHacker, identificou uma falha grave no aplicativo da Lovense que permitia a exposição de dados pessoais dos usuários, como endereços de email. Essa vulnerabilidade poderia ser explorada por golpistas para realizar ataques de doxxing (exposição de informações privadas) e assédio.
Como os atacantes conseguiam acessar os emails dos usuários?
Os atacantes utilizavam uma solicitação POST à API /api/wear/genGtoken da Lovense, que gerava um token de autenticação (gtoken). Ao enviar um nome de usuário conhecido, o servidor retornava um email falso. Com isso, era possível converter esse dado em um JID (identificador de usuário) e, ao adicioná-lo à lista de contatos, o email verdadeiro do usuário era revelado.
Quais riscos os usuários corriam com essa falha?
Além da exposição de emails, a falha permitia que golpistas se passassem por contas legítimas da Lovense. Isso possibilitava o acesso a aplicativos da empresa, como StreamMaster, Lovense Connect e Cam101, e até a perfis em plataformas como OnlyFans, Chaturbate e fansly, aumentando o risco de fraudes e invasões de privacidade.
A Lovense já corrigiu o problema?
A empresa afirmou que enviou as correções para as lojas de aplicativos e que a atualização completa estará disponível para todos os usuários em breve. A Lovense também informou que, após todos atualizarem para a nova versão e as versões antigas forem desativadas, o problema será completamente resolvido.
Quando a falha foi reportada à Lovense?
As vulnerabilidades foram comunicadas à Lovense em 26 de março. Na época, a empresa afirmou que já estava trabalhando para corrigir os problemas. Em 4 de junho, declarou que a situação havia sido resolvida, embora pesquisadores tenham contestado essa afirmação.
O que é um JID e como ele foi usado no ataque?
JID (Jabber ID) é um identificador usado em sistemas de mensagens baseados em XMPP. No ataque, os golpistas convertiam o email falso retornado pela API em um JID, como “tecmundo@dominio.com”, e o adicionavam à lista de contatos. Ao atualizar essa lista, o sistema revelava o email verdadeiro do usuário.
Avatar do(a) autor(a): Felipe Vitor Vidal Neri
Felipe Vitor Vidal Neri

Especialista em Redator

Redator de tecnologia com foco no segmento de hardware. Pelo TecMundo, atuo na elaboração de notícias, especiais, entrevistas e análise de produtos, como processadores e placas de vídeo.

local_mall

Ofertas TecMundo

Atualizado há 1 hora
Fone Bluetooth HUAWEI FreeClip 2
51% off

Compre já!

Fone Bluetooth HUAWEI FreeClip 2

R$ 643,00

Áudio amazon.com.brnew_releases
Controle DualSense, PS5
26% off

Imperdível!

Controle DualSense, PS5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
Smartphone POCO C85, 256GB
37% off

Cupom GANHOU50

Smartphone POCO C85, 256GB

R$ 994,76

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA