Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Platform Sex Toy Lovense Ekspos Data Pengguna
  • Teknologi

Platform Sex Toy Lovense Ekspos Data Pengguna

5 min read
Platform Sex Toy Lovense Ekspos Data Pengguna

Credit image: Freepix

Platform Sex Toy Lovense Ekspos Data Pengguna – Platform sex toy interaktif, Lovense, baru-baru ini terungkap memiliki kerentanan zero-day yang memungkinkan penyerang mendapatkan akses ke alamat email anggota hanya dengan mengetahui nama pengguna mereka.

Hal ini menempatkan jutaan pengguna pada risiko tinggi doxxing (penyebaran informasi pribadi secara online untuk tujuan jahat) dan pelecehan.

Lovense dikenal sebagai produsen sex toy yang dikendalikan aplikasi, dengan produk populer seperti Lush, Gush, dan Kraken. Perusahaan ini mengklaim memiliki 20 juta pelanggan di seluruh dunia.

Mainan Lovense umumnya digunakan untuk hiburan lokal maupun jarak jauh, dan juga populer di kalangan model cam yang memungkinkan penonton memberi tip atau berlangganan untuk mengendalikan mainan mereka dari jarak jauh.

Namun, pengalaman yang terhubung ini juga dapat mengekspos nama pengguna Lovense mereka, dan karena kerentanan ini, berpotensi mengungkapkan alamat email pribadi mereka.

Nama pengguna Lovense sering dibagikan secara publik di forum dan media sosial, menjadikannya target yang mudah bagi penyerang.

Baca juga: Memahami Fenomena Sexting

Bagaimana Email Bisa Terungkap

Kerentanan ini ditemukan oleh peneliti keamanan untuk merekayasa balik aplikasi dan mengotomatiskan serangan.

Para peneliti telah melaporkan dua kerentanan ini lebih dari empat bulan lalu, tepatnya pada 26 Maret 2025. Namun, hanya satu dari kerentanan tersebut, yaitu celah pembajakan akun kritis, yang kemudian diperbaiki.

Untuk mengeksploitasi kerentanan ini, penyerang hanya perlu membuat permintaan POST ke endpoint API tertentu dengan kredensial mereka, yang akan mengembalikan gtoken (token otentikasi) dan kunci enkripsi AES-CBC.

Penyerang kemudian mengambil nama pengguna Lovense yang diketahui publik dan mengenkripsinya menggunakan kunci enkripsi yang diambil. Payload terenkripsi ini dikirim ke endpoint API lain.

Server akan merespons dengan data yang berisi alamat email palsu, yang kemudian diubah peneliti menjadi Jabber ID (JID) palsu yang digunakan oleh server XMPP Lovense.

Dengan menambahkan JID palsu ini ke daftar kontak XMPP mereka dan mengirim permintaan langganan kehadiran melalui XMPP (mirip dengan permintaan pertemanan), penyerang dapat me-refresh daftar kontak, yang sekarang menyertakan JID palsu dan JID asli yang terkait dengan akun target.

Namun, masalahnya adalah JID asli dibuat menggunakan alamat email asli pengguna, dalam format nama_pengguna!!!domain.com_w@im.lovense.com, yang memungkinkan penyerang mengekstrak alamat email korban. Misalnya, jika hasilnya adalah bleeping!!!example.com_w@im.lovense.com, alamat email sebenarnya dari akun Lovense adalah bleeping@example.com.

Para peneliti mengonfirmasi bahwa seluruh proses dapat diselesaikan dalam waktu kurang dari satu detik per pengguna dengan menggunakan script. Hasil penelitian juga menyatakan bahwa tidak perlu menerima permintaan pertemanan untuk mengeksploitasi kerentanan tersebut.

Selain itu juga dikonfirmasi bahwa cukup mudah menemukan nama pengguna yang sah di forum dan situs terkait Lovense, seperti [suspicious link removed].

Peneliti mengklaim bahwa ekstensi FanBerry, yang dibuat oleh Lovense, dapat digunakan untuk mengumpulkan nama pengguna karena banyak model cam menggunakan nama pengguna yang sama, memungkinkan pengumpulan email skala besar.

Baca juga: Sextortion dan Predator Online Merajalela di Dunia Maya

Kerentanan Pembajakan Akun

Selain masalah pengungkapan email, para peneliti juga menemukan kerentanan kritis yang memungkinkan mereka membajak akun sepenuhnya.

Hanya dengan menggunakan alamat email, penyerang dapat menghasilkan token otentikasi tanpa memerlukan kata sandi.

Dengan menggunakan token ini, penyerang dapat menyamar sebagai pengguna di platform Lovense, termasuk Lovense Connect, StreamMaster, dan Cam101. Token ini bahkan dilaporkan berfungsi pada akun administrator.

Meskipun Lovense telah mengatasi kerentanan ini dengan menolak token pada API-nya, para peneliti mencatat bahwa gtoken masih dapat dihasilkan tanpa kata sandi. Kedua masalah ini dilaporkan ke Lovense pada 26 Maret 2025.

Pada bulan April, setelah juga mengirimkan bug ke HackerOne, Lovense memberi tahu para peneliti bahwa masalah email sudah diketahui dan akan diperbaiki di versi mendatang.

Awalnya perusahaan meremehkan kerentanan pembajakan akun, tetapi setelah diberitahu bahwa itu dapat memungkinkan akses penuh ke akun admin, Lovense mengklasifikasikannya ulang sebagai kritis. Secara total, para peneliti menerima $3.000 untuk pengungkapan kerentanan tersebut.

Pada 4 Juni, perusahaan mengklaim kerentanan telah diperbaiki, tetapi para peneliti mengonfirmasi bahwa ini tidak benar. Lovense akhirnya memperbaiki kerentanan pembajakan akun pada bulan Juli, tetapi menyatakan bahwa dibutuhkan sekitar 14 bulan untuk menyelesaikan kerentanan email, karena akan merusak kompatibilitas dengan versi lama aplikasi mereka.

Para peneliti mengkritik tanggapan ini, menyatakan bahwa perusahaan berulang kali mengklaim masalah sudah diperbaiki padahal belum.

Pada akhirnya, Lovense mengatakan mereka menerapkan fitur proxy pada 3 Juli yang disarankan oleh para peneliti untuk mengurangi serangan. Namun, bahkan setelah melakukan update paksa aplikasi, kerentanan tidak teratasi, sehingga tidak jelas apa yang sebenarnya diubah.

Sebagai catatan, pada tahun 2016, beberapa kerentanan Lovense juga pernah mengekspos alamat email atau memungkinkan penyerang untuk menentukan apakah suatu alamat email memiliki akun di Lovense.

Baca juga: Varian Baru Penipuan Email Sextortion

Tips Keamanan untuk Pengguna Lovense dan Platform Sejenis

Mengingat kerentanan serius ini dan riwayat keamanan yang kurang baik, pengguna Lovense dan platform sex toy yang terhubung internet lainnya perlu sangat berhati-hati:

1. Gunakan Nama Pengguna dan Email yang Berbeda

  • Hindari menggunakan nama pengguna Lovense yang sama dengan nama pengguna di platform lain, terutama media sosial atau forum publik.
  • Gunakan alamat email yang terpisah atau sekali pakai (disposable email) khusus untuk pendaftaran di platform seperti Lovense. Jangan gunakan email utama yang terhubung dengan akun perbankan atau informasi sensitif lainnya.

2. Batasi Informasi yang Dibagikan

Berhati-hatilah dengan informasi yang Anda bagikan secara publik. Nama pengguna yang tampak tidak berbahaya bisa menjadi titik awal bagi penyerang.

3. Waspada Terhadap Permintaan Pertemanan atau Pesan Mencurigakan

Jika Anda menerima permintaan pertemanan atau pesan yang aneh di aplikasi Lovense atau platform lain, jangan langsung diterima. Kerentanan ini menunjukkan bahwa penyerang bisa mendapatkan informasi tanpa perlu Anda menerima permintaan.

4. Pantau Tanda-tanda Doxxing atau Pelecehan

Jika Anda khawatir email atau informasi pribadi Anda mungkin telah terekspos, pantau aktivitas online Anda untuk tanda-tanda doxxing atau pelecehan.

5. Perbarui Aplikasi Secara Teratur

Meskipun kasus Lovense ini menunjukkan lambatnya perbaikan, selalu pastikan aplikasi Anda diperbarui ke versi terbaru. Pembaruan seringkali mengandung perbaikan keamanan.

6. Pertimbangkan Risikonya

Setiap kali Anda menggunakan perangkat yang terhubung internet, selalu ada risiko. Pikirkan baik-baik tentang jenis informasi yang Anda bagikan dan potensi konsekuensinya jika informasi tersebut bocor atau disalahgunakan.

7. Laporkan Aktivitas Mencurigakan

Jika mencurigai adanya aktivitas aneh pada akun Lovense Anda atau platform sejenis, laporkan segera kepada tim dukungan mereka dan pertimbangkan untuk mengubah kata sandi.

Dalam dunia digital yang saling terhubung, melindungi privasi adalah tanggung jawab bersama antara penyedia layanan dan pengguna. Kasus Lovense ini menjadi pengingat pahit tentang pentingnya praktik keamanan yang ketat dan transparansi dari pihak pengembang, serta kewaspadaan tinggi dari sisi pengguna.

 

 

 

Baca artikel lainnya: 

  • Email Sextortion
  • Lindungi Anak dari Sextortion
  • Bahaya Smart Sex Toy Dibawah Kendali Peretas
  • Smart Sex Toy Mainan Baru Penjahat Digital
  • Cinta Palsu di Tinder
  • Cinta Digital Merebak Penjahat Cinta Siber Bergerak
  • Ketika Lansia berburu Cinta Online Namun Tertipu
  • Mendeteksi Penipu Cinta di Aplikasi Kencan Online
  • Layanan Kencan Online, Mencari Cinta Berujung Nestapa
  • Parental Control Bentuk Cinta Orangtua pada Anak

 

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Phising Phyton
Next: Shuyal Stealer Curi Data dari 19 Browser

Related Stories

ClickJacking Kerentanan Baru pada Manajer Kata Sandi ClickJacking Kerentanan Baru pada Manajer Kata Sandi
2 min read
  • Teknologi

ClickJacking Kerentanan Baru pada Manajer Kata Sandi

August 22, 2025
Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas
3 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas

August 22, 2025
Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik
2 min read
  • Sektor Bisnis
  • Teknologi

Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik

August 21, 2025

Recent Posts

  • Mengapa Enkripsi Penting untuk Pengguna Rumahan
  • Taktik Canggih Malware VShell
  • Warlock Fokus Incar Server Sharepoint
  • Spearphishing Spesifik dan Berbahaya
  • Apakah Belanja di Etsy Aman?
  • Ransomware yang Menyamar sebagai ChatGPT
  • 10 Kesalahpahaman Teratas tentang Cyberbullying
  • Mengatasi FOMO pada Anak di Era Digital
  • ClickJacking Kerentanan Baru pada Manajer Kata Sandi
  • Jerat Penipuan Finansial Deepfake

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengapa Enkripsi Penting untuk Pengguna Rumahan Mengapa Enkripsi Penting untuk Pengguna Rumahan
3 min read
  • Edukasi
  • Sektor Personal

Mengapa Enkripsi Penting untuk Pengguna Rumahan

August 26, 2025
Taktik Canggih Malware VShell Taktik Canggih Malware VShell
3 min read
  • Sektor Bisnis
  • Sektor Personal

Taktik Canggih Malware VShell

August 26, 2025
Warlock Fokus Incar Server Sharepoint Warlock Fokus Incar Server Sharepoint
3 min read
  • Ransomware

Warlock Fokus Incar Server Sharepoint

August 26, 2025
Spearphishing Spesifik dan Berbahaya Spearphishing Spesifik dan Berbahaya
3 min read
  • Sektor Bisnis
  • Sektor Personal

Spearphishing Spesifik dan Berbahaya

August 26, 2025

Copyright © All rights reserved. | DarkNews by AF themes.