
Credit image: Freepix
Platform Sex Toy Lovense Ekspos Data Pengguna – Platform sex toy interaktif, Lovense, baru-baru ini terungkap memiliki kerentanan zero-day yang memungkinkan penyerang mendapatkan akses ke alamat email anggota hanya dengan mengetahui nama pengguna mereka.
Hal ini menempatkan jutaan pengguna pada risiko tinggi doxxing (penyebaran informasi pribadi secara online untuk tujuan jahat) dan pelecehan.
Lovense dikenal sebagai produsen sex toy yang dikendalikan aplikasi, dengan produk populer seperti Lush, Gush, dan Kraken. Perusahaan ini mengklaim memiliki 20 juta pelanggan di seluruh dunia.
Mainan Lovense umumnya digunakan untuk hiburan lokal maupun jarak jauh, dan juga populer di kalangan model cam yang memungkinkan penonton memberi tip atau berlangganan untuk mengendalikan mainan mereka dari jarak jauh.
Namun, pengalaman yang terhubung ini juga dapat mengekspos nama pengguna Lovense mereka, dan karena kerentanan ini, berpotensi mengungkapkan alamat email pribadi mereka.
Nama pengguna Lovense sering dibagikan secara publik di forum dan media sosial, menjadikannya target yang mudah bagi penyerang.
Baca juga: Memahami Fenomena Sexting |
Bagaimana Email Bisa Terungkap
Kerentanan ini ditemukan oleh peneliti keamanan untuk merekayasa balik aplikasi dan mengotomatiskan serangan.
Para peneliti telah melaporkan dua kerentanan ini lebih dari empat bulan lalu, tepatnya pada 26 Maret 2025. Namun, hanya satu dari kerentanan tersebut, yaitu celah pembajakan akun kritis, yang kemudian diperbaiki.
Untuk mengeksploitasi kerentanan ini, penyerang hanya perlu membuat permintaan POST ke endpoint API tertentu dengan kredensial mereka, yang akan mengembalikan gtoken (token otentikasi) dan kunci enkripsi AES-CBC.
Penyerang kemudian mengambil nama pengguna Lovense yang diketahui publik dan mengenkripsinya menggunakan kunci enkripsi yang diambil. Payload terenkripsi ini dikirim ke endpoint API lain.
Server akan merespons dengan data yang berisi alamat email palsu, yang kemudian diubah peneliti menjadi Jabber ID (JID) palsu yang digunakan oleh server XMPP Lovense.
Dengan menambahkan JID palsu ini ke daftar kontak XMPP mereka dan mengirim permintaan langganan kehadiran melalui XMPP (mirip dengan permintaan pertemanan), penyerang dapat me-refresh daftar kontak, yang sekarang menyertakan JID palsu dan JID asli yang terkait dengan akun target.
Namun, masalahnya adalah JID asli dibuat menggunakan alamat email asli pengguna, dalam format nama_pengguna!!!domain.com_w@im.lovense.com
, yang memungkinkan penyerang mengekstrak alamat email korban. Misalnya, jika hasilnya adalah bleeping!!!example.com_w@im.lovense.com
, alamat email sebenarnya dari akun Lovense adalah bleeping@example.com
.
Para peneliti mengonfirmasi bahwa seluruh proses dapat diselesaikan dalam waktu kurang dari satu detik per pengguna dengan menggunakan script. Hasil penelitian juga menyatakan bahwa tidak perlu menerima permintaan pertemanan untuk mengeksploitasi kerentanan tersebut.
Selain itu juga dikonfirmasi bahwa cukup mudah menemukan nama pengguna yang sah di forum dan situs terkait Lovense, seperti [suspicious link removed].
Peneliti mengklaim bahwa ekstensi FanBerry, yang dibuat oleh Lovense, dapat digunakan untuk mengumpulkan nama pengguna karena banyak model cam menggunakan nama pengguna yang sama, memungkinkan pengumpulan email skala besar.
Baca juga: Sextortion dan Predator Online Merajalela di Dunia Maya |
Kerentanan Pembajakan Akun
Selain masalah pengungkapan email, para peneliti juga menemukan kerentanan kritis yang memungkinkan mereka membajak akun sepenuhnya.
Hanya dengan menggunakan alamat email, penyerang dapat menghasilkan token otentikasi tanpa memerlukan kata sandi.
Dengan menggunakan token ini, penyerang dapat menyamar sebagai pengguna di platform Lovense, termasuk Lovense Connect, StreamMaster, dan Cam101. Token ini bahkan dilaporkan berfungsi pada akun administrator.
Meskipun Lovense telah mengatasi kerentanan ini dengan menolak token pada API-nya, para peneliti mencatat bahwa gtoken masih dapat dihasilkan tanpa kata sandi. Kedua masalah ini dilaporkan ke Lovense pada 26 Maret 2025.
Pada bulan April, setelah juga mengirimkan bug ke HackerOne, Lovense memberi tahu para peneliti bahwa masalah email sudah diketahui dan akan diperbaiki di versi mendatang.
Awalnya perusahaan meremehkan kerentanan pembajakan akun, tetapi setelah diberitahu bahwa itu dapat memungkinkan akses penuh ke akun admin, Lovense mengklasifikasikannya ulang sebagai kritis. Secara total, para peneliti menerima $3.000 untuk pengungkapan kerentanan tersebut.
Pada 4 Juni, perusahaan mengklaim kerentanan telah diperbaiki, tetapi para peneliti mengonfirmasi bahwa ini tidak benar. Lovense akhirnya memperbaiki kerentanan pembajakan akun pada bulan Juli, tetapi menyatakan bahwa dibutuhkan sekitar 14 bulan untuk menyelesaikan kerentanan email, karena akan merusak kompatibilitas dengan versi lama aplikasi mereka.
Para peneliti mengkritik tanggapan ini, menyatakan bahwa perusahaan berulang kali mengklaim masalah sudah diperbaiki padahal belum.
Pada akhirnya, Lovense mengatakan mereka menerapkan fitur proxy pada 3 Juli yang disarankan oleh para peneliti untuk mengurangi serangan. Namun, bahkan setelah melakukan update paksa aplikasi, kerentanan tidak teratasi, sehingga tidak jelas apa yang sebenarnya diubah.
Sebagai catatan, pada tahun 2016, beberapa kerentanan Lovense juga pernah mengekspos alamat email atau memungkinkan penyerang untuk menentukan apakah suatu alamat email memiliki akun di Lovense.
Baca juga: Varian Baru Penipuan Email Sextortion |
Tips Keamanan untuk Pengguna Lovense dan Platform Sejenis
Mengingat kerentanan serius ini dan riwayat keamanan yang kurang baik, pengguna Lovense dan platform sex toy yang terhubung internet lainnya perlu sangat berhati-hati:
1. Gunakan Nama Pengguna dan Email yang Berbeda
- Hindari menggunakan nama pengguna Lovense yang sama dengan nama pengguna di platform lain, terutama media sosial atau forum publik.
- Gunakan alamat email yang terpisah atau sekali pakai (disposable email) khusus untuk pendaftaran di platform seperti Lovense. Jangan gunakan email utama yang terhubung dengan akun perbankan atau informasi sensitif lainnya.
2. Batasi Informasi yang Dibagikan
Berhati-hatilah dengan informasi yang Anda bagikan secara publik. Nama pengguna yang tampak tidak berbahaya bisa menjadi titik awal bagi penyerang.
3. Waspada Terhadap Permintaan Pertemanan atau Pesan Mencurigakan
Jika Anda menerima permintaan pertemanan atau pesan yang aneh di aplikasi Lovense atau platform lain, jangan langsung diterima. Kerentanan ini menunjukkan bahwa penyerang bisa mendapatkan informasi tanpa perlu Anda menerima permintaan.
4. Pantau Tanda-tanda Doxxing atau Pelecehan
Jika Anda khawatir email atau informasi pribadi Anda mungkin telah terekspos, pantau aktivitas online Anda untuk tanda-tanda doxxing atau pelecehan.
5. Perbarui Aplikasi Secara Teratur
Meskipun kasus Lovense ini menunjukkan lambatnya perbaikan, selalu pastikan aplikasi Anda diperbarui ke versi terbaru. Pembaruan seringkali mengandung perbaikan keamanan.
6. Pertimbangkan Risikonya
Setiap kali Anda menggunakan perangkat yang terhubung internet, selalu ada risiko. Pikirkan baik-baik tentang jenis informasi yang Anda bagikan dan potensi konsekuensinya jika informasi tersebut bocor atau disalahgunakan.
7. Laporkan Aktivitas Mencurigakan
Jika mencurigai adanya aktivitas aneh pada akun Lovense Anda atau platform sejenis, laporkan segera kepada tim dukungan mereka dan pertimbangkan untuk mengubah kata sandi.
Dalam dunia digital yang saling terhubung, melindungi privasi adalah tanggung jawab bersama antara penyedia layanan dan pengguna. Kasus Lovense ini menjadi pengingat pahit tentang pentingnya praktik keamanan yang ketat dan transparansi dari pihak pengembang, serta kewaspadaan tinggi dari sisi pengguna.
Sumber berita: