Was klingt wie ein schlechter Witz, ist bitterer Ernst für Millionen Nutzer:innen weltweit: Der Sexspielzeug-Hersteller Lovense hat derzeit mit kritischen Sicherheitslücken in seiner Plattform zu kämpfen. Besonders betroffen: Cam-Models, Content-Creator – und alle, die auf Privatsphäre setzen.
Über Benutzername zur E-Mail – ohne Umweg
Die Lücke wurde vom Sicherheitsforscher BobDaHacker aufgedeckt – durch einen simplen Stummschalt-Vorgang in der Lovense-App. Schnell stellte sich heraus: Jeder Benutzername lässt sich mit einem Skript automatisiert in die zugehörige E-Mail-Adresse übersetzen. Das Problem liegt im XMPP-Chat-System, das intern zur Kommunikation genutzt wird – und offenbar schlecht abgesichert ist.
Für Angreifer bedeutet das: Jeder öffentlich geteilte Benutzername (z. B. auf Social Media) wird zur Eintrittskarte in die Identität dahinter. Besonders bitter für jene, die sich bewusst für anonyme Nutzernamen entschieden haben.
Noch schlimmer: Kontenübernahme ohne Passwort
Noch gravierender ist die zweite Lücke: Mit einer bekannten E-Mail-Adresse konnten Angreifer Login-Tokens ohne Passwort erzeugen – und damit komplette Konten übernehmen. Laut Forschern funktionierte das sogar bei Admin-Zugängen. Privatsphäre adé.
Betroffen sind laut Schätzung über 20 Millionen Konten weltweit. Lovense-Spielzeuge sind in der Erotik-Content-Szene besonders beliebt, da sie Livestreams mit haptischem Feedback kombinieren – etwa bei Plattformen wie OnlyFans oder Chaturbate.
Lovense reagiert langsam – und unvollständig
Obwohl die Schwachstellen bereits im März 2025 gemeldet wurden, behob Lovense die gravierende Konto-Übernahme erst im Juli. Die E-Mail-Lücke besteht weiter – laut Unternehmen brauche man rund 14 Monate für eine vollständige Lösung. Als Grund nennt man die Kompatibilität mit älteren App-Versionen.
Brisant: Bereits 2023 sollen ähnliche Schwachstellen bekannt gewesen sein, wurden aber nie vollständig geschlossen.
Forscher warnen: Fake-Mails nutzen
Als kurzfristige Schutzmassnahme empfehlen die Sicherheitsforscher, Lovense nur mit Wegwerf-E-Mail-Adressen zu nutzen, um eine Verbindung zur realen Identität zu vermeiden. Auch sollte auf öffentliche Nennung des Benutzernamens verzichtet werden – insbesondere in Foren und sozialen Netzwerken.
Wie sicher sollten intime Geräte wirklich sein?
Findest du Lovenses Umgang mit dem Thema verantwortungslos – oder sind 14 Monate für einen Fix bei über 20 Millionen Nutzern verständlich? Diskutiere mit uns in den Kommentaren.
