Le célèbre fabricant de sextoys connectés Lovense est au cœur d'une polémique après qu'un chercheur en cybersécurité, connu sous le pseudonyme de BobDaHacker, a révélé deux failles majeures exposant les données personnelles de ses utilisateurs. Malgré un premier signalement en mars via le projet Internet des Dongs, Lovense aurait minimisé l'urgence des correctifs, affirmant que corriger la faille prendrait près de 14 mois… pour ne pas perturber les utilisateurs de ses anciens produits ! Selon le chercheur, il était possible d'accéder aux adresses e-mail d'autres utilisateurs grâce à l'analyse du trafic réseau de l'application, même sans aucune interaction directe. Une démonstration réalisée avec le site TechCrunch a montré qu'il ne fallait qu'une minute – voire moins avec un script automatisé – pour associer un nom d'utilisateur à son adresse email.
Plus inquiétant encore, une deuxième faille permettait le rachat complet d'un compte Lovense depuis l'adresse email, sans mot de passe, exposant particulièrement camgirls et les créateurs de contenu qui utilisent ces appareils de manière professionnelle. Lovense, qui compte plus de 20 millions d'utilisateurs, a été récompensée en 2023 pour l'intégration de ChatGPT dans ses produits, une reconnaissance aujourd'hui ternie par la révélation de cette faille et par la manière dont la startup communique à ce sujet. Depuis la publication de l'enquête, Lovense affirme avoir corrigé la faille du rachat et prévoit de résoudre celle liée aux emails d'ici une semaine, sans s'engager à en avertir ses utilisateurs.
