20 milyondan fazla kullanıcısı bulunan internet bağlantılı akıllı seks oyuncakları üreticisi Lovense’in, kullanıcıların e-posta adreslerini sızdıran ve hesapların ele geçirilmesine yol açan iki kritik güvenlik açığını hâlâ kapatamadığı ortaya çıktı.
Detaylar haberimizde…
Araştırmacıdan Şok Açıklama
Bağımsız güvenlik araştırmacısı BobDaHacker, Lovense’in hâlen düzeltmediği iki ciddi güvenlik açığı bulunduğunu açıkladı. Araştırmacı, hataların kullanıcıların e-posta adreslerinin ifşa olmasına ve herhangi bir hesabın kolayca ele geçirilmesine yol açtığını belirtti.
BobDaHacker, bulgularını kamuoyuna 29 Temmuz 2025’te duyurdu. Lovense, araştırmacının ilettiği açıkları kapatmak için 14 aya ihtiyaç duyduğunu ve hızlı bir düzeltmenin eski ürünleri kullanan müşterileri zor durumda bırakacağını savundu.
Lovense ve Riskin Büyüklüğü
Lovense, dünya genelinde 20 milyondan fazla kullanıcıya sahip, internet bağlantılı cinsel sağlık cihazlarının önde gelen üreticilerinden biri. Şirket, 2023’te ürünlerine ChatGPT entegrasyonu sağlayan ilk firmalardan biri olarak gündeme gelmişti. Ancak cihazların internete bağlanması, veri gizliliği ihlalleri ve uzaktan cihaz kontrolü gibi ciddi riskleri de beraberinde getiriyor.
E-posta Sızıntısı: Kullanıcıların Kimliği Ortaya Çıkıyor
BobDaHacker, Lovense uygulamasında başka kullanıcıların e-posta adreslerinin, uygulama içinde görünmese de ağ trafiği analiz edilerek tespit edilebildiğini ortaya koydu. Kullanıcılarla etkileşim sırasında —örneğin birini sessize alma işlemi sırasında— e-posta adresleri şifrelenmeden aktarılıyordu.
Araştırmacı, oturum açmış bir hesabın ağ isteğini değiştirerek herhangi bir Lovense kullanıcı adını kayıtlı e-posta adresiyle eşleştirebildiğini belirtti. Bu durum, özellikle kullanıcı adlarını kamuya açık paylaşan cam modeller için ciddi bir tehdit oluşturuyor.
TechCrunch ekibi, yeni bir Lovense hesabı açarak araştırmacının kayıtlı e-postalarını yalnızca bir dakika içinde ortaya çıkardığını doğruladı. BobDaHacker, otomatikleştirilmiş bir yazılımla bu bilginin bir saniyeden kısa sürede elde edilebildiğini açıkladı.
Hesap Ele Geçirme Açığı: Şifresiz Giriş Mümkün
İkinci güvenlik açığı ise yalnızca e-posta adresiyle herhangi bir Lovense hesabının ele geçirilmesine olanak tanıyor. Araştırmacı, bu açık sayesinde saldırganların parola girmeden kimlik doğrulama jetonları oluşturabildiğini ve hesaplara gerçek kullanıcıymış gibi erişip bağlı cihazları kontrol edebildiğini aktardı.
“Bu araçları özellikle iş amaçlı kullanan cam modeller için bu açık çok kritik. Sadece e-posta adresini bilen herkes hesabınızı ele geçirebilir,” diyor BobDaHacker.
Uzun Düzeltme Süresi Tepki Çekti
Araştırmacı, söz konusu güvenlik açıklarını 26 Mart 2025’te “Internet of Dongs” adlı güvenlik projesi üzerinden Lovense’e iletti. Şirket, BobDaHacker’a toplam 3.000 dolar hata ödülü verse de, haftalar süren görüşmeler sonunda hızlı bir çözüm getirmeyi reddetti.
Lovense, “bir ay içinde düzeltme” seçeneğinin eski cihaz kullanan müşterilerin uygulamalarını zorunlu olarak güncellemesini gerektirdiğini belirterek bundan vazgeçti. Araştırmacı ise güvenlik endüstrisinde olağan kabul edilen 90 günlük süreyi aşan bu 14 aylık gecikmeyi kabul etmediğini ve açığı kamuoyuna açıklamaya karar verdiğini duyurdu.
BobDaHacker, ayrıca söz konusu hatanın Eylül 2023’te başka bir araştırmacı tarafından keşfedilmiş olabileceğini, ancak çözüm uygulanmadan kapatıldığını iddia ediyor.
Kullanıcılar İçin Risk Devam Ediyor
Güvenlik açıkları, Lovense hesabı bulunan tüm kullanıcıları doğrudan etkileyen ciddi tehditler oluşturuyor. Şirket yetkililerinden henüz resmi ve tatmin edici bir açıklama ya da çözüm önerisi gelmemesi, kullanıcıların durum karşısında kendi önlemlerini almalarını zorunlu kılıyor. Uzmanlar, öncelikle hesap şifrelerinin hemen değiştirilmesini ve karmaşık, tahmin edilmesi zor şifrelerin tercih edilmesini öneriyor.
Ayrıca, mümkün olan her durumda iki aşamalı kimlik doğrulama (2FA) sisteminin etkinleştirilmesi, hesabın izinsiz erişimlere karşı korunmasında önemli bir güvenlik katmanı olarak öne çıkıyor. Bunun yanı sıra, kullanıcıların kişisel e-posta adreslerini sosyal medya ya da forum gibi kamuya açık platformlarda paylaşmaktan kaçınmaları, olası siber saldırılara karşı ekstra bir koruma sağlıyor. Güvenlik uzmanları, bu tedbirlerin kullanıcıların hesap güvenliğini artırmaya yardımcı olacağını ve mevcut güvenlik açıklarının potansiyel zararlarını en aza indireceğini vurguluyor.
Kaynakça:
- TechCrunch, “Sex toy maker Lovense caught leaking users’ email addresses and exposing accounts to takeovers”, 29 Temmuz 2025.
- BobDaHacker blog yazısı ve Internet of Dongs proje raporu.
Derleyen: Eda Azap Öztemel