Cacat aplikasi mainan seks Lovense membocorkan alamat email pribadi pengguna

Pembaruan ditambahkan di bagian bawah artikel.

Platform mainan seks terhubung Lovense rentan terhadap kelemahan zero-day yang memungkinkan penyerang memperoleh akses ke alamat email anggota hanya dengan mengetahui nama pengguna mereka, sehingga membuat mereka berisiko mengalami doxxing dan pelecehan.

Lovense adalah produsen mainan seks interaktif, yang terkenal karena memproduksi mainan seks yang dikendalikan aplikasi dengan merek-merek seperti Lush, Gush, dan, mungkin yang paling berani, Kraken. Perusahaan ini mengklaim memiliki 20 juta pelanggan di seluruh dunia.

Sementara mainan Lovense umumnya digunakan untuk hiburan lokal dan jarak jauh, mainan ini juga populer di kalangan model kamera yang memungkinkan pemirsa memberi tip atau berlangganan untuk mengendalikan mainan mereka dari jarak jauh.

Namun, pengalaman yang terhubung juga dapat mengekspos nama pengguna Lovense mereka, dan karena kelemahan ini, berpotensi mengungkapkan alamat email pribadi mereka.

Nama pengguna Lovense sering dibagikan secara publik di forum dan media sosial, sehingga menjadi sasaran empuk bagi penyerang.

Kelemahan tersebut ditemukan oleh peneliti keamanan BobDaHacker, yang bekerja sama dengan peneliti Eva dan Rebane untuk merekayasa balik aplikasi dan mengotomatiskan serangan.

Para peneliti mengungkapkan dua kelemahan lebih dari empat bulan yang lalu, tepatnya pada 26 Maret 2025. Namun, hanya satu kelemahan, yaitu kelemahan kritis dalam pembajakan akun, yang kemudian diperbaiki.

Kelemahan Lovense

Kerentanan tersebut berasal dari interaksi antara sistem obrolan XMPP Lovense, yang digunakan untuk komunikasi antara pengguna, dan backend platform.

“Jadi semuanya berawal ketika saya menggunakan aplikasi Lovense dan menonaktifkan suara seseorang. Itu saja. Saya menonaktifkan suara mereka,” jelas laporan BobDaHacker .

“Tapi kemudian saya melihat respons API dan berpikir… tunggu, apakah itu alamat email? Kenapa ada di sana? Setelah mencari tahu lebih lanjut, saya menemukan cara mengubah nama pengguna apa pun menjadi alamat email mereka.”

Untuk mengeksploitasi kelemahan tersebut, penyerang membuat permintaan POST ke /api/wear/genGtokentitik akhir API dengan kredensial mereka, yang mengembalikan gtoken (token autentikasi) dan kunci enkripsi AES-CBC.

Penyerang kemudian mengambil nama pengguna Lovense yang diketahui publik dan mengenkripsinya menggunakan kunci enkripsi yang diambil. Muatan terenkripsi ini dikirim ke 

Server merespons dengan data yang berisi alamat email palsu, yang diubah peneliti menjadi ID Jabber (JID) palsu yang digunakan oleh server XMPP Lovense.

Dengan menambahkan JID palsu ini ke daftar kontak XMPP mereka dan mengirimkan langganan kehadiran melalui XMPP (mirip dengan permintaan pertemanan), penyerang dapat menyegarkan daftar (daftar kontak), yang sekarang menyertakan JID palsu dan JID asli yang terkait dengan akun target. 

Namun, masalahnya adalah JID yang sebenarnya dibuat menggunakan email aktual milik pengguna, dalam format nama [email protected], yang memungkinkan penyerang untuk mengekstrak alamat email korban.

Misalnya, jika mengembalikan [email protected], email aktual yang dihasilkan dari akun Lovense adalah [email protected].

Para peneliti mengonfirmasi bahwa seluruh proses dapat diselesaikan dalam waktu kurang dari satu detik per pengguna dengan sebuah skrip. BleepingComputer membuat akun palsu hari ini dan membagikan nama pengguna kami dengan BobDaHacker, sehingga mereka dapat terhubung sebagai teman dan membalas email yang kami daftarkan.

Peneliti juga menyatakan bahwa tidak perlu menerima permintaan pertemanan untuk mengeksploitasi kelemahan tersebut.

BleepingComputer juga mengonfirmasi bahwa relatif mudah untuk menemukan nama pengguna yang sah di forum dan situs terkait Lovense, seperti lovenselife.com.

Peneliti juga mengklaim bahwa ekstensi FanBerry, yang dibuat oleh Lovense, dapat digunakan untuk mengumpulkan nama pengguna karena banyak model kamera menggunakan nama pengguna yang sama, sehingga memungkinkan pengumpulan email dalam skala besar.

Para peneliti juga menemukan kerentanan kritis yang memungkinkan mereka membajak akun sepenuhnya.

Hanya dengan menggunakan alamat email, penyerang dapat membuat token autentikasi tanpa perlu kata sandi. Dengan token ini, penyerang dapat menyamar sebagai pengguna di platform Lovense, termasuk Lovense Connect, StreamMaster, dan Cam101.

Token ini dilaporkan juga berfungsi pada akun admin.

Sementara Lovense telah mengurangi kelemahan ini dengan menolak token pada API-nya, para peneliti mencatat bahwa gtoken masih dapat dibuat tanpa kata sandi.

Kedua masalah tersebut dilaporkan ke Lovense pada tanggal 26 Maret 2025. Pada bulan April, setelah juga mengirimkan bug tersebut ke HackerOne, Lovense memberi tahu para peneliti bahwa masalah email tersebut sudah diketahui dan telah diperbaiki dalam versi yang akan datang.

Perusahaan tersebut awalnya meremehkan kelemahan pembajakan akun, tetapi setelah diberi tahu bahwa kelemahan tersebut dapat memungkinkan akses akun admin penuh, Lovense mengklasifikasikannya kembali sebagai kritis.

Secara total, para peneliti menerima $3.000 untuk pengungkapan kelemahan tersebut.

Pada tanggal 4 Juni, perusahaan mengklaim bahwa celah keamanan telah diperbaiki, tetapi para peneliti mengonfirmasi bahwa hal tersebut tidak benar. Lovense akhirnya memperbaiki celah keamanan pembajakan akun pada bulan Juli, tetapi menyatakan bahwa akan membutuhkan waktu sekitar 14 bulan untuk mengatasi celah keamanan email tersebut, karena akan mengganggu kompatibilitas dengan versi aplikasi mereka yang lebih lama.

“Kami telah meluncurkan rencana perbaikan jangka panjang yang akan memakan waktu sekitar sepuluh bulan, dengan setidaknya empat bulan lagi diperlukan untuk sepenuhnya menerapkan solusi yang lengkap,” ujar Lovense kepada peneliti tersebut.

Kami juga mengevaluasi perbaikan yang lebih cepat, yaitu satu bulan. Namun, perbaikan tersebut mengharuskan semua pengguna untuk segera memperbarui sistem, yang akan mengganggu dukungan untuk versi lama. Kami telah memutuskan untuk tidak menggunakan pendekatan ini dan lebih memilih solusi yang lebih stabil dan ramah pengguna.

Para peneliti mengkritik tanggapan ini, dengan menyatakan bahwa perusahaan tersebut berulang kali mengklaim masalah telah diperbaiki padahal kenyataannya tidak.

“Pengguna Anda berhak mendapatkan yang lebih baik. Berhentilah mengutamakan dukungan aplikasi lama daripada keamanan. Perbaikilah. Dan uji perbaikan Anda sebelum mengklaim berhasil,” tulis BobDaHacker dalam laporan tersebut.

Akhirnya, Lovense mengatakan mereka menerapkan fitur proksi pada 3 Juli yang disarankan oleh para peneliti untuk memitigasi serangan. Namun, bahkan setelah pembaruan paksa aplikasi, kelemahannya tidak diperbaiki, jadi tidak jelas apa yang diubah.

Pada tahun 2016, beberapa kelemahan Lovense mengekspos alamat email atau memungkinkan penyerang menentukan apakah alamat email memiliki akun di Lovense.

Setelah cerita ini diterbitkan, BobDaHacker diberitahu bahwa peneliti lain bernama  @Krissy dan @SkeletalDemise menemukan bug pengambilalihan akun yang sama pada tahun 2023, yang diungkapkan melalui HackerOne.

Namun, Lovense diduga menandai kelemahan tersebut sebagai telah diperbaiki padahal belum, mengubah tingkat keparahan dari tinggi ke sedang, dan hanya membayar hadiah bug sebesar $350 untuk pengungkapannya.

Para peneliti juga menemukan API lain, /api/getUserNameByEmailV2, yang memungkinkan Anda mengubah nama pengguna menjadi alamat email atau sebaliknya, tanpa harus menggunakan XMPP.

API ini diduga telah ditambal dan berhenti berfungsi setelah pengungkapan tersebut, tanpa memberi tahu peneliti.

Pembaruan 29/7/25 10:51 AM ET: Dalam sebuah pernyataan kepada BleepingComputer, Lovense berterima kasih kepada BobDaHacker karena mengungkapkan kekurangan tersebut dan mengatakan bahwa perbaikan sedang diluncurkan di toko aplikasi.

“Dengan senang hati kami informasikan bahwa pembaruan yang mengatasi kerentanan terbaru, sebagaimana dirujuk oleh peneliti dalam postingan blognya tadi malam, telah dikirimkan ke toko aplikasi sebelum postingan tersebut dipublikasikan,” ujar Lovense kepada BleepingComputer.

Pembaruan lengkap diperkirakan akan tersedia untuk semua pengguna dalam minggu depan. Setelah semua pengguna memperbarui ke versi baru dan kami menonaktifkan versi lama, masalah ini akan teratasi sepenuhnya.

Namun, juru bicara tersebut juga menyatakan bahwa celah yang mengekspos alamat email telah diperbaiki pada akhir Juni. Pernyataan ini bertentangan dengan pernyataan peneliti yang menunjukkan kepada BleepingComputer kemarin bahwa mereka dapat mengambil alamat email kami untuk akun uji coba hanya dengan menerima permintaan pertemanan mereka.

BleepingComputer mengirimkan pertanyaan lanjutan kepada Lovense tentang kelemahan yang masih berfungsi dan akan memperbarui cerita kami dengan balasan apa pun.

Pembaruan 30/7/25: Meskipun Lovense tidak menanggapi email kami kemarin, peneliti kini telah mengonfirmasi bahwa kedua kekurangan tersebut telah diperbaiki sepenuhnya.

Teknik yang digunakan untuk mengekspos alamat email pengguna tidak lagi berfungsi dalam pengujian peneliti dan API yang sebelumnya digunakan untuk membuat token autentikasi telah dinonaktifkan.

Perlu dicatat bahwa kelemahan pengambilalihan akun telah diperbaiki sebelum penghentian titik akhir ini.

BleepingComputer menghubungi Lovense untuk konfirmasi perbaikan tetapi belum mendapat tanggapan hingga saat ini.

Pembaruan 7/31/25: CEO Lovense Dan Liu berbagi pernyataan dengan BleepingComputer yang mengonfirmasi bahwa semua kelemahan kini telah diperbaiki, meyakinkan pengguna bahwa tidak ada indikasi kelemahan tersebut dieksploitasi atau digunakan untuk mencuri data.

“Kerentanan ini ditemukan dalam kondisi terkendali oleh peneliti, yang merupakan bagian dari platform bug bounty yang kami ikuti pada tahun 2018, dan bukan melalui aktivitas jahat,” kata Liu.

“Semua kerentanan yang teridentifikasi telah ditangani sepenuhnya.”

“Hingga saat ini, tidak ada bukti yang menunjukkan bahwa data pengguna, termasuk alamat email atau informasi akun, telah dibobol atau disalahgunakan.”

Namun, CEO Lovense membantah klaim bahwa kelemahan email itu telah diperbaiki dengan perbaikan “sederhana” selama dua hari.

Rencana rekonstruksi sistem jangka panjang 14 bulan yang semula dijadwalkan selesai jauh lebih cepat berkat kerja keras tim dan peningkatan alokasi sumber daya, lanjut Liu.

“Mereduksi proyek komprehensif ini menjadi proyek sederhana yang “dapat diperbaiki dalam dua hari” tidak hanya menyesatkan tetapi juga mengabaikan kerja keras luar biasa yang telah dilakukan oleh tim kami.”

BleepingComputer sekali lagi bertanya mengapa Lovense sebelumnya menyatakan kelemahan email tersebut telah diperbaiki, padahal terbukti tidak demikian, dan akan memperbarui cerita tersebut jika kami menerima tanggapan.