Una recompensa de tres mil dólares fue otorgada por la empresa Lovense al investigador BobDaHacker tras la denuncia de dos fallos de seguridad en sus plataformas conectadas. Pese a reconocer la gravedad de las vulnerabilidades, la empresa solicitó un plazo de 14 meses para aplicar una solución definitiva, según documentos compartidos por el investigador y verificados por TechCrunch.
El reporte técnico detalla cómo ambos errores permitían acceder a cuentas de usuarios sin contraseña, con sólo conocer su dirección de correo electrónico. Esa información era accesible mediante un análisis del tráfico de red, lo que representaba un riesgo para cualquier persona registrada en la plataforma. El investigador demostró públicamente que la extracción de datos podía completarse en segundos, incluso con herramientas básicas.
Tras comunicar los hallazgos el 26 de marzo mediante el proyecto Internet of Dongs, Lovense inició un diálogo con el especialista. La compañía acordó pagar a través del programa de recompensas HackerOne, una plataforma reconocida en el entorno de la ciberseguridad. No obstante, en la misma etapa del proceso, rechazó implementar un parche rápido en un mes, argumentando que esa acción obligaría a los usuarios de dispositivos antiguos a actualizar sus aplicaciones, generando posibles interrupciones.
La solicitud de un período de 14 meses para mitigar los problemas técnicos fue el motivo principal que llevó al investigador a divulgar públicamente la información. Según el blog publicado por BobDaHacker, Lovense fue informada de todos los detalles antes de hacer público el caso, en línea con las prácticas aceptadas por la comunidad de ciberseguridad para divulgación responsable.
TechCrunch verificó los errores de forma independiente. En uno de los ensayos, el investigador logró identificar el correo electrónico de una cuenta de prueba creada por el medio en menos de un minuto. De acuerdo con los detalles técnicos, el acceso a las cuentas también permitía la operación remota de dispositivos conectados.
Así, la compañía respondió tras la publicación del reportaje y afirmó haber corregido el problema responsable del acceso no autorizado. También indicó su intención de solucionar el error relacionado con la exposición de correos mediante una próxima actualización, la cual alcanzará a todos los usuarios durante la siguiente semana. No se especificó si se emitirá alguna notificación directa a los afectados.
Finalmente, la decisión de priorizar la compatibilidad con productos previos sobre la implementación de medidas urgentes de seguridad resalta una situación común en empresas que operan con dispositivos de generaciones múltiples. Sin estándares específicos para plataformas íntimas conectadas, las decisiones técnicas permanecen en un marco voluntario sin regulaciones aplicables a estos casos.
