A fabricante de brinquedos eróticos Lovense, conhecida por seus vibradores controlados remotamente, enfrentou recentemente uma severa crise de segurança. Uma vulnerabilidade crítica permitia que hackers obtivessem acesso total às contas dos usuários, expondo seus endereços de e-mail e comprometendo sua privacidade. A falha, que permitia a invasores gerar um gtoken válido sem a necessidade de senha, finalmente foi corrigida após meses de espera e pressão pública.
A descoberta da vulnerabilidade foi feita pelo pesquisador de segurança BobDaHacker, que identificou uma forma de expor os endereços de e-mail dos usuários através da função de silenciamento no aplicativo. A partir daí, era possível obter controle total da conta, sem que a vítima sequer fosse notificada. A Lovense foi notificada sobre o problema em março de 2025, mas a correção completa demorou a ser implementada. Inicialmente, a empresa alegou que a correção total levaria mais de um ano, pois não desejava forçar os usuários de versões antigas do aplicativo a atualizarem.
A demora na resolução do problema gerou grande repercussão na comunidade de segurança e na mídia especializada. Outros pesquisadores revelaram que a vulnerabilidade já era conhecida desde 2022 e que a Lovense havia fechado o caso sem implementar uma solução efetiva. Somente após a exposição pública da falha, com a divulgação de que mais de 11 milhões de contas estavam vulneráveis, a empresa se mobilizou para lançar as correções necessárias. Este não é o primeiro incidente de privacidade envolvendo a Lovense; em 2017, a empresa foi acusada de gravar áudio dos usuários enquanto utilizavam seus produtos, embora tenha negado o envio desses dados para seus servidores.
Origem: Link