Lovense, het speeltje dat terugkijkt

Lovense, fabrikant van op afstand bestuurbare seksspeeltjes, ligt zwaar onder vuur na onthullingen over ernstige beveiligingsproblemen die jarenlang niet zijn aangepakt. De persoonlijke gegevens van meer dan 11 miljoen gebruikers bleken structureel blootgesteld te zijn via zwakke plekken in de architectuur van hun systemen. Onderzoek door verschillende beveiligingsspecialisten, met name de ethische hacker bekend als BobDaHacker, bracht aan het licht dat Lovense deze meldingen jarenlang negeerde of bagatelliseerde. De onthullingen schetsen een schokkend beeld van hoe een techbedrijf, actief in een extreem privacygevoelige sector, bewust prioriteit gaf aan legacy-apps en winstmodellen boven gebruikersveiligheid.

E-mailadressen zichtbaar door fout in berichteninfrastructuur

De kern van een van de grootste lekken lag bij het gebruikte berichtenprotocol, XMPP, dat Lovense inzet om communicatie tussen gebruikers mogelijk te maken. In deze opzet werden Jabber ID's gegenereerd die direct waren gekoppeld aan het e-mailadres van een gebruiker. Iedereen met toegang tot de interne infrastructuur of die slim genoeg was om via de Lovense API te opereren, kon met minimale moeite e-mailadressen achterhalen. BobDaHacker demonstreerde dit door te laten zien hoe een mute-actie in de app de achterliggende API triggerde om het e-mailadres van de betreffende gebruiker terug te sturen.

Een ontwikkelaar hoefde geen geavanceerde kwetsbaarheid uit te buiten om dit lek te vinden. Het zat ingebakken in de structuur van de communicatieopbouw. Met slechts een gebruikersnaam konden onderzoekers via een reeks stappen de versleutelde data opvragen, het XMPP-roster manipuleren en zo het e-mailadres blootleggen. Deze aanpak onthult geen bug in de traditionele zin, maar een fundamentele ontwerpfout. Het feit dat dit al sinds ten minste 2022 bekend was bij het bedrijf, en herhaaldelijk is gerapporteerd, maakt de nalatigheid extra ernstig. Een gebruiker reageerde op het bericht van BobDaHacker op Twitter en meldde dat hij via de iOS-app Filza de e-mailadressen kon lezen van iedereen met wie hij jarenlang had gecommuniceerd via de Lovense Remote App.

Accountovernames zonder wachtwoord, een open deur voor aanvallers

Minstens zo verontrustend was een tweede kwetsbaarheid die Lovense jarenlang in stand hield. De zogenaamde 'gtokens', gegenereerd via de Lovense Connect-app, boden volledige toegang tot accounts zonder dat een wachtwoord nodig was. Het invoeren van een gebruikersnaam of e-mailadres was voldoende om een toegangstoken te verkrijgen waarmee de volledige infrastructuur kon worden gebruikt. Hierdoor konden aanvallers zich toegang verschaffen tot niet alleen persoonlijke profielen, maar ook tot beheerdersaccounts en zakelijke dashboards.

Met toegang tot iemands Lovense Extension kon een aanvaller verwoestende schade aanrichten. Ze konden aangepaste stickers met afbeeldingen toevoegen aan streamingwidgets in OBS, waarbij de API de afbeeldings-URL verstuurt - hiermee konden IP-adressen van modellen worden achterhaald. Aanvallers kregen volledige controle over speeltjes tijdens livestreams via Lovense Connect, konden de complete fooiengeschiedenis en betaalgegevens inzien, verlanglijstjes bekijken inclusief wie items had gekocht, en het meest schokkend: ze konden de fysieke adressen zien waar verlanglijstitems naartoe werden verzonden. Deze combinatie van mogelijkheden maakte gerichte doxing van cammodellen kinderspel - van het koppelen van professionele accounts aan persoonlijke e-mails tot het achterhalen van hun thuisadres.

Een patroon van vertragingen, misleiding en onverschilligheid

Hoewel de kwetsbaarheden al jaren geleden zijn gemeld, toonde Lovense zich consequent afwijzend of traag in het oplossen ervan. In 2022 meldde de onderzoeker Panther het XMPP-lek, zonder resultaat. In 2023 bracht beveiligingsonderzoeker Krissy zowel de e-maillekken als de tokenmisbruiken onder de aandacht. In plaats van serieuze opvolging betaalde Lovense een minimale vergoeding en beweerde dat het lek was verholpen. Bij hertesten bleken de kwetsbaarheden nog steeds actief. Op een verzoek tot openbaarmaking werd maandenlang niet gereageerd, waarna Lovense het lek stilzwijgend patchte zonder de onderzoeker te informeren.

Toen BobDaHacker begin 2025 wederom het probleem blootlegde en Lovense hiermee confronteerde, claimde het bedrijf verrast te zijn. Pas na publicatie van de onderzoeksresultaten en de daaropvolgende mediastorm kwam Lovense in actie. Wat eerder 14 maanden aan ontwikkeltijd zou vereisen, werd plots in 48 uur opgelost. Deze omslag toont aan dat niet technische complexiteit, maar gebrek aan prioriteit de oorzaak was van het uitblijven van actie.

Mediamanipulatie en pogingen tot intimidatie van onderzoekers

De manier waarop Lovense reageerde op de publieke bekendmakingen is even zorgwekkend als de technische tekortkomingen. In communicatie naar journalisten stelde het bedrijf dat de kwetsbaarheden al eind juni waren opgelost, terwijl dit onjuist bleek. Bovendien suggereerde men dat het lek alleen bestond als gebruikers vriendschapsverzoeken accepteerden, wat niet strookt met de technische bevindingen. Daarbovenop deed Lovense pogingen om BobDaHacker te laten verbannen van het bug bounty-platform HackerOne, ondanks dat deze expliciete toestemming had om zijn bevindingen openbaar te maken.

De vergoeding die onderzoekers ontvingen verschilde ook sterk zonder duidelijke onderbouwing. Terwijl Krissy slechts 350 dollar kreeg voor het rapporteren van ernstige kwetsbaarheden, werd BobDaHacker 3.000 dollar aangeboden voor dezelfde ontdekking. Dit gebrek aan transparantie en de pogingen tot het onderdrukken van verantwoorde openbaarmaking ondermijnen het vertrouwen in het bedrijf en in het bredere bug bounty-ecosysteem.

Impact op gebruikers, vooral cammodellen en sekswerkers

De gevolgen van deze lekken zijn niet hypothetisch. Getuigenissen van gebruikers bevestigen dat de blootstelling reëel was. Meerdere personen meldden dat ze eenvoudig toegang hadden tot privégegevens van anderen via de Lovense-systemen. E-mails, fysieke adressen en zelfs apparaatgegevens waren jarenlang in te zien. De kwetsbaarheid trof vooral sekswerkers en cammodellen, die voor hun veiligheid afhankelijk zijn van strikte digitale scheiding tussen hun werk en privéleven. Een lek waarbij professionele gebruikersnamen ineens gekoppeld werden aan persoonlijke e-mailadressen of zelfs woonadressen heeft potentieel levensbedreigende gevolgen.

Hoewel Lovense recentelijk stappen heeft gezet om de kwetsbaarheden te dichten, is de nasleep nog voelbaar. Gebruikers melden nog steeds sporen van oude lekken en blijven bezorgd over andere potentiële kwetsbaarheden die nog niet zijn aangepakt. De kernvraag blijft of een bedrijf dat alleen in beweging komt onder publieke druk, werkelijk te vertrouwen is met zulke gevoelige informatie.

Noodzaak voor hervorming binnen de sekstechnologie

Deze casus onderstreept de bredere noodzaak voor structurele hervormingen binnen de sekstechnologie-industrie. Producten die opereren op het snijvlak van intimiteit en technologie brengen unieke risico's met zich mee. Dat betekent dat bedrijven in deze sector niet alleen aan minimale regelgeving moeten voldoen, maar proactief de hoogste standaarden op het gebied van beveiliging en transparantie moeten hanteren.

Verplichte externe audits, strengere eisen aan dataminimalisatie en een duidelijk openbaar beleid voor het omgaan met kwetsbaarheidsmeldingen zouden onderdeel moeten zijn van een bredere beweging richting verantwoord productbeheer. Wanneer een fabrikant zoals Lovense prioriteit geeft aan legacy-ondersteuning boven het beschermen van de fysieke en digitale veiligheid van gebruikers, is er fundamenteel iets mis.

Gebruikers wordt aangeraden hun accounts te herzien, waar mogelijk gebruik te maken van tijdelijke e-mailadressen, geen fysieke adressen te koppelen aan verlanglijstjes, en na te gaan of hun gegevens in het verleden mogelijk zijn gelekt. Belangrijker nog is de bredere bewustwording: digitale veiligheid stopt niet bij de firewall. Juist in intieme omgevingen is het essentieel dat bedrijven hun verantwoordelijkheid nemen.

Wat is?

• Wat is?: Jabber ID (JID)
  Een JID is een soort gebruikersadres dat wordt gebruikt in het XMPP-berichtensysteem. Het lijkt op een e-mailadres en identificeert een specifieke gebruiker binnen het netwerk, zoals gebruiker@server.com. In het geval van Lovense bevatte de JID letterlijk het e-mailadres van een gebruiker, wat het lekgevoelig maakte.
• Wat is?: XMPP
  Extensible Messaging and Presence Protocol (XMPP) is een open protocol voor realtime communicatie, vaak gebruikt voor chattoepassingen. Lovense gebruikt dit protocol om apparaten en gebruikers met elkaar te laten communiceren. Door een verkeerde implementatie konden e-mailadressen worden blootgelegd.
• Wat is?: API
  Een Application Programming Interface (API) is een koppeling waarmee softwareprogramma’s met elkaar kunnen communiceren. Via de Lovense-API konden onderzoekers versleutelde gebruikersgegevens opvragen, wat uiteindelijk leidde tot het blootleggen van persoonlijke informatie.
• Wat is?: gtoken
  Een gtoken is een soort toegangstoken dat gebruikers authenticatie geeft tot bepaalde functies binnen de Lovense-systemen. Normaal gesproken is zo’n token gekoppeld aan een wachtwoord, maar bij Lovense kon het worden verkregen met enkel een gebruikersnaam of e-mailadres, wat het systeem kwetsbaar maakte voor misbruik.
• Wat is?: bug bounty
  Een bug bounty is een beloningsprogramma waarbij bedrijven ethische hackers betalen voor het melden van kwetsbaarheden in hun systemen. Het doel is om zwakke plekken te vinden voordat kwaadwillenden dat doen. In dit geval kreeg de ene onderzoeker slechts $350, terwijl een ander $3.000 ontving voor hetzelfde lek.
• Wat is?: legacy-ondersteuning
  Legacy-ondersteuning betekent dat een bedrijf oudere software of systemen blijft ondersteunen, vaak om compatibiliteit met verouderde apparaten of gebruikersdata te behouden. Bij Lovense werd deze ondersteuning voorrang gegeven boven het dichten van kritieke beveiligingslekken.
• Wat is?: doxing
  Doxing is het verzamelen en openbaar maken van privégegevens van iemand zonder diens toestemming, vaak met kwade bedoelingen. In dit geval kon via Lovense het woonadres van cammodellen worden achterhaald, wat hen kwetsbaar maakte voor stalking of fysieke bedreiging.
• Wat is?: Filza
  Filza is een bestandsbeheer-app voor iOS, vaak gebruikt op ‘jailbroken’ iPhones. Gebruikers meldden dat zij hiermee e-mailadressen uit de Lovense-app konden uitlezen, wat de zwakke bescherming van persoonsgegevens illustreert.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.