News

Smarte Dildos, grosse Lücke: Lovense kämpft mit schwerem Sicherheitsproblem

/// Von Kevin Kyburz /// 2 Min. Lesezeit
Lovense Lush

Was klingt wie ein schlechter Witz, ist bitterer Ernst für Millionen Nutzer:innen weltweit: Der Sexspielzeug-Hersteller Lovense hat derzeit mit kritischen Sicherheitslücken in seiner Plattform zu kämpfen. Besonders betroffen: Cam-Models, Content-Creator – und alle, die auf Privatsphäre setzen.

Über Benutzername zur E-Mail – ohne Umweg

Die Lücke wurde vom Sicherheitsforscher BobDaHacker aufgedeckt – durch einen simplen Stummschalt-Vorgang in der Lovense-App. Schnell stellte sich heraus: Jeder Benutzername lässt sich mit einem Skript automatisiert in die zugehörige E-Mail-Adresse übersetzen. Das Problem liegt im XMPP-Chat-System, das intern zur Kommunikation genutzt wird – und offenbar schlecht abgesichert ist.

Für Angreifer bedeutet das: Jeder öffentlich geteilte Benutzername (z.B. auf Social Media) wird zur Eintrittskarte in die Identität dahinter. Besonders bitter für jene, die sich bewusst für anonyme Nutzernamen entschieden haben.

Keine Produkte gefunden.

Noch schlimmer: Kontenübernahme ohne Passwort

Noch gravierender ist die zweite Lücke: Mit einer bekannten E-Mail-Adresse konnten Angreifer Login-Tokens ohne Passwort erzeugen – und damit komplette Konten übernehmen. Laut Forschern funktionierte das sogar bei Admin-Zugängen. Privatsphäre adé.

Betroffen sind laut Schätzung über 20 Millionen Konten weltweit. Lovense-Spielzeuge sind in der Erotik-Content-Szene besonders beliebt, da sie Livestreams mit haptischem Feedback kombinieren – etwa bei Plattformen wie OnlyFans oder Chaturbate.

Lovense reagiert langsam – und unvollständig

Obwohl die Schwachstellen bereits im März 2025 gemeldet wurden, behob Lovense die gravierende Konto-Übernahme erst im Juli. Die E-Mail-Lücke besteht weiter – laut Unternehmen brauche man rund 14 Monate für eine vollständige Lösung. Als Grund nennt man die Kompatibilität mit älteren App-Versionen.

Brisant: Bereits 2023 sollen ähnliche Schwachstellen bekannt gewesen sein, wurden aber nie vollständig geschlossen.

Forscher warnen: Fake-Mails nutzen

Als kurzfristige Schutzmassnahme empfehlen die Sicherheitsforscher, Lovense nur mit Wegwerf-E-Mail-Adressen zu nutzen, um eine Verbindung zur realen Identität zu vermeiden. Auch sollte auf öffentliche Nennung des Benutzernamens verzichtet werden – insbesondere in Foren und sozialen Netzwerken.

Wie sicher sollten intime Geräte wirklich sein?

Findest du Lovenses Umgang mit dem Thema verantwortungslos – oder sind 14 Monate für einen Fix bei über 20 Millionen Nutzern verständlich? Diskutiere mit uns in den Kommentaren.