Игрушка для взрослых знает твой email. И не стесняется рассказать об этом всем

В платформе Lovense, известной своими управляемыми через приложение секс-игрушками (включая модели Lush, Gush и Kraken), обнаружена критическая брешь, позволяющая узнать электронную почту любого пользователя, зная лишь его логин. Уязвимость затрагивает как обычных клиентов, так и моделей, использующих сервис в трансляциях. Поскольку ники часто публикуются открыто — например, в соцсетях и на форумах — злоумышленникам не составляет труда сопоставить их с реальными адресами и применять сведения для доксинга или преследования.

Автором находки стал исследователь BobDaHacker, совместно с коллегами Eva и Rebane выполнивший реверс-инжиниринг мобильного клиента Lovense и автоматизировавший атаку. Как выяснилось, проблема возникает из-за особенностей взаимодействия между серверной логикой и XMPP-чатом, отвечающим за передачу сообщений.

По словам исследователя, всё началось с попытки заглушить уведомления от другого участника: после нажатия кнопки "Mute" в ответе API неожиданно отразился чужой email. Это послужило отправной точкой для анализа, в ходе которого выяснилось, что при определённой последовательности действий можно с высокой скоростью массово извлекать адреса по публичным никам.

Механизм атаки следующий: сначала человек выполняет POST-запрос к /api/wear/genGtoken со своими собственными данными и получает токен (gtoken) вместе с ключами AES-CBC. Затем любой известный логин шифруется и подставляется в запрос к /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}.

В ответ сервер возвращает фиктивный email, по которому формируется поддельный Jabber ID (JID). Его можно добавить в контакт-лист XMPP-чата, и при отправке стандартного запроса на добавление (через протокол XMPP) клиент обновляет ростер, где теперь появляется не только подставной, но и реальный JID — в формате, содержащем исходный адрес. Например, строка bleeping!!!example.com_w@im.lovense.com явно указывает на bleeping@example.com.

По словам аналитиков, логины легко собираются на таких платформах, как lovenselife.com, а также через расширение FanBerry, выпущенное самой Lovense. У Многих моделей одни и те же ники на разных сервисах, что упрощает сбор.

Кроме того, исследователи выявили ещё один критический баг, позволяющий полностью захватить аккаунт . Зная email, можно сгенерировать рабочий gtoken и авторизоваться без пароля, включая доступ к сервисам Lovense Connect, StreamMaster и Cam101. По заявлениям исследователей, уязвимость действовала и для учётных записей администраторов.

После уведомления от исследовательской группы 26 марта 2025 года и подачи отчёта через HackerOne, компания сначала принизила серьёзность угона учётной записи. Однако впоследствии Lovense изменила классификацию проблемы на "критическую". При этом API начали отклонять gtoken при попытке входа, но сами токены всё ещё можно создать без ввода пароля.

В июне компания отчиталась об устранении уязвимостей, однако исследователи заявили, что проблема с раскрытием почты осталась. В июле был полностью закрыт только баг, связанный с генерацией токенов. Что касается второго дефекта, Lovense сообщила, что его исправление займёт до 14 месяцев — из-за необходимости поддерживать совместимость со старыми версиями приложения.

Рассматривался вариант срочного исправления за один месяц, но от него отказались, так как это требовало бы немедленного обновления всех клиентов. Вместо этого был принят долгосрочный план: 10 месяцев на реализацию и ещё 4 — на полную интеграцию.

"Пользователи заслуживают лучшего. Хватит ставить обратную совместимость выше безопасности. Исправьте уязвимости и убедитесь, что они действительно закрыты", — написал BobDaHacker в итоговом отчёте.

По заявлениям Lovense, 3 июля они внедрили предложенную исследователями прокси-функцию для частичной блокировки атаки. Однако даже после обновления клиента ошибка осталась, и до сих пор неизвестно, какие именно изменения были внесены. Напомним, что ещё в 2016 году компания уже сталкивалась с уязвимостями, позволявшими определять наличие учётной записи по email или извлекать его напрямую.