En la plataforma Lovense, conocida por sus juguetes sexuales controlados por aplicación (incluyendo los modelos Lush, Gush y Kraken), se ha descubierto una falla crítica que permite conocer el correo electrónico de cualquier usuario con tan solo saber su nombre de usuario. La vulnerabilidad afecta tanto a clientes comunes como a modelos que utilizan el servicio en transmisiones. Dado que los apodos se publican con frecuencia en redes sociales y foros, a los atacantes les resulta sencillo asociarlos con direcciones reales y usar esta información para doxing o acoso.
El hallazgo fue realizado por el investigador BobDaHacker, quien, junto a sus colegas Eva y Rebane, llevó a cabo ingeniería inversa del cliente móvil de Lovense y automatizó el ataque. Resultó que el problema surge debido a peculiaridades en la interacción entre la lógica del servidor y el chat XMPP, que se encarga de la transmisión de mensajes.
Según el investigador, todo comenzó con un intento de silenciar las notificaciones de otro participante: tras pulsar el botón “Mute”, la respuesta de la API devolvió inesperadamente el correo electrónico de otra persona. Esto dio pie a un análisis que reveló que, con una secuencia específica de acciones, era posible extraer masivamente direcciones de correo a partir de nombres de usuario públicos con gran rapidez.
El mecanismo del ataque es el siguiente: primero, el usuario realiza una solicitud POST a /api/wear/genGtoken con sus propios datos y recibe un token (gtoken) junto con claves AES-CBC. Luego, cualquier nombre de usuario conocido se cifra y se inserta en una solicitud a /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}.
El servidor responde con un correo electrónico ficticio, a partir del cual se genera un identificador Jabber falso (JID). Este puede añadirse a la lista de contactos del chat XMPP, y al enviar una solicitud estándar de adición (usando el protocolo XMPP), el cliente actualiza el roster, donde aparece no sólo el JID falso, sino también el real, en un formato que contiene la dirección original. Por ejemplo, la cadena bleeping!!!example.com_w@im.lovense.com revela claramente bleeping@example.com.
Según los analistas, los nombres de usuario se recopilan fácilmente en plataformas como lovenselife.com y mediante la extensión FanBerry lanzada por la propia Lovense. Muchos modelos usan los mismos apodos en diferentes servicios, lo que facilita aún más la recopilación.
Además, los investigadores descubrieron otra falla crítica que permite tomar el control total de una cuenta. Conociendo el correo electrónico, se puede generar un gtoken válido y autenticarse sin contraseña, obteniendo acceso a servicios como Lovense Connect, StreamMaster y Cam101. Según los investigadores, la vulnerabilidad también afectaba a cuentas administrativas.
Tras el aviso del grupo de investigación el 26 de marzo de 2025 y la presentación del informe a través de HackerOne, la empresa inicialmente minimizó la gravedad de la toma de cuentas. Sin embargo, más tarde Lovense reclasificó el problema como “crítico”. A partir de entonces, la API empezó a rechazar el gtoken en los intentos de inicio de sesión, aunque los tokens todavía pueden generarse sin introducir una contraseña.
En junio, la compañía informó que había solucionado las vulnerabilidades, pero los investigadores afirmaron que el problema de la exposición del correo persistía. En julio, sólo se cerró completamente el bug relacionado con la generación de tokens. En cuanto al segundo defecto, Lovense indicó que su corrección podría tardar hasta 14 meses, debido a la necesidad de mantener la compatibilidad con versiones antiguas de la aplicación.
Se consideró una solución urgente en un mes, pero fue descartada, ya que requeriría una actualización inmediata de todos los clientes. En su lugar, se adoptó un plan a largo plazo: 10 meses para el desarrollo y otros 4 para la integración completa.
“Los usuarios merecen algo mejor. Basta de priorizar la compatibilidad inversa por encima de la seguridad. Corrijan las vulnerabilidades y asegúrense de que realmente estén cerradas”, escribió BobDaHacker en el informe final.
Según Lovense, el 3 de julio implementaron la función proxy sugerida por los investigadores para bloquear parcialmente el ataque. Sin embargo, incluso tras la actualización del cliente, el error persistió, y aún se desconoce qué cambios se aplicaron exactamente. Cabe recordar que ya en 2016 la empresa enfrentó vulnerabilidades que permitían determinar si una cuenta existía a partir del correo electrónico o incluso extraerlo directamente.