Une faille dans Lovense exposent les emails des utilisateurs

A zero-day flaw in the Lovense app

L’application Lovense, dédiée aux sex toys connectés, a récemment été confrontée à une faille critique exposant les adresses email des utilisateurs. Cette vulnérabilité permettait à un attaquant de récupérer des emails privés à partir d’un simple nom d’utilisateur, entraînant des risques élevés de doxxing, de harcèlement et de compromission de compte.

Comment fonctionnait la faille Lovense

Le chercheur en sécurité BobDaHacker, accompagné d’Eva et de Rebane, a découvert une faille zero-day dans le système de communication de Lovense. En exploitant l’interaction entre le chat XMPP et l’API backend, les attaquants pouvaient transformer un nom d’utilisateur public en adresse email privée.

Étapes d’exploitation

Le processus d’attaque était simple et automatisable :

  1. Générer un gtoken via l’endpoint /api/wear/genGtoken.

  2. Chiffrer un nom d’utilisateur et l’envoyer à l’endpoint /app/ajaxCheckEmailOrUserIdRegisted.

  3. Récupérer un JID (Jabber ID) factice, l’ajouter aux contacts, puis actualiser la liste pour révéler l’adresse email réelle intégrée dans le vrai JID.

Les chercheurs ont démontré que ce processus pouvait être exécuté en moins d’une seconde par cible, les noms d’utilisateurs publics étant facilement accessibles sur les forums et réseaux sociaux.

Risques pour les utilisateurs et les cam models

Cette faille a eu des conséquences majeures pour les 20 millions d’utilisateurs de Lovense, en particulier pour les cam models qui partagent publiquement leur identifiant. Les emails exposés pouvaient entraîner :

  • Harcèlement et doxxing

  • Attaques de phishing

  • Tentatives de chantage

Cette affaire illustre les risques de confidentialité liés aux objets connectés, où même un simple identifiant peut devenir une porte d’entrée vers des données sensibles.

Réaction de Lovense et correctifs retardés

Les chercheurs ont signalé la faille le 26 mars 2025. Si Lovense a rapidement corrigé une faille critique d’usurpation de compte, la fuite d’emails a été retardée pour des raisons de compatibilité avec les anciennes versions.

L’entreprise a opté pour un plan de correction sur 14 mois, refusant un correctif rapide qui aurait imposé une mise à jour forcée. BobDaHacker a critiqué cette approche, soulignant que l’entreprise avait affirmé à plusieurs reprises que la faille était corrigée alors qu’elle ne l’était pas.
Ce n’est qu’à la fin juillet 2025 que Lovense a confirmé que la fuite d’emails et la vulnérabilité des tokens étaient totalement corrigées.

Leçons en cybersécurité

Cette affaire montre qu’un retard dans la correction d’une faille met directement les utilisateurs en danger. Les entreprises manipulant des données sensibles doivent :

  • Prioriser la sécurité avant le support des anciennes versions

  • Renforcer la sécuri

    té des API et la gestion des tokens

  • Appliquer des principes de confidentialité dès la conception

Les entreprises utilisant des plateformes connectées doivent envisager des services de surveillance et de réponse en cybersécurité avancés pour prévenir ce type de brèche.

Lisez l’article complet de BleepingComputer ici.

Restez informé avec nous !

Abonnez-vous à notre newsletter mensuelle sur la cybersécurité pour suivre nos actualités et les tendances du secteur.

Blog

Découvrez nos analyses, articles exclusifs, événements à venir et les dernières actualités sur les cybermenaces.

New EDR Killer Tool Used by Multiple Ransomware Groups

Nouvel outil EDR Killer utilisé par plusieurs groupes de ransomware

  • Ransomware
Allianz Life Data Breach

Allianz Life : une fuite de données touche la majorité des clients

  • Fuite de données
Koske Malware Uses Panda Images to Infect Linux Systems

Le malware Koske infecte Linux avec des images de pandas

  • Intelligence Artificielle Cyber

Tous nos articles

Avez-vous été victime de pirates informatiques ? D'une violation de données ? Appelez-nous ou écrivez-nous, nous savons ce qu'il faut faire.

+ 41 22 588 65 90 (24/7 ligne directe)
emergency@zendata.security

Pendant que nous traitons votre demande, voici quelques actions que vous pouvez déjà entreprendre pour prévenir une catastrophe.

Guide des bonnes pratiques

Newsletter

Restez au courant de l’actualité, des cybermenaces émergentes, des dernières tendances, des événements à venir et de nos analyses en vous abonnant à notre newsletter mensuelle dédiée à la cybersécurité.

Depuis 2011, nous soutenons les entreprises, les gouvernements et les organisations éducatives. Nous collaborons avec des organisations internationales et les forces de l’ordre pour vous fournir des réponses rapides et efficaces face aux cybermenaces.

Bureaux

Genève

Rte de Frontenex, 62Bis,

1207, Genève

Suisse

022 588 65 90

Bahreïn

Bureau 1201,

Almoayyed TowerAI, Seef,

Bahreïn

+973 6500 2035

Abu Dhabi

Bureau 603, Centro Capital Center,

Abu Dhabi Exhibition Center,

Khaleej Al Arabi St, Abu Dhabi,

UAE

+9712 622 0580

 

Dubaï

Building Montana,

D84 Zaa’beel Street, Dubai,

UAE

800 0120009

Singapour

90 EU Tong Sen Street

#03-02B, Singapour, 059811

Singapour

+65 6035 8090

Légal

Politique de confidentialité

Cookie Policy

Data Processing Agreement

Refund Policy

Terms & Conditions

Réseaux sociaux

Téléchargements

DEFCON : Suisse

© Copyright ZENDATA CYBERSECURITY