güvenlik açıkları
Blogumuzda, akıllı yatak örtülerinden robot süpürgelere, sesli trafik ışığı düğmelerinden çocuk oyuncaklarına, evcil hayvan besleyicilerinden bisikletlere kadar bazı sıra dışı cihazlardaki güvenlik açıklarını ele aldık. Ancak bugün tartıştığımız vaka, belki de şimdiye kadarki en egzotik vaka olabilir. Son zamanlarda, siber güvenlik araştırmacıları Lovense seks oyuncaklarının uzaktan kumanda uygulamalarında iki adet son derece ciddi güvenlik açığı keşfettiler.
Bu hikayedeki her şey acayip; savunmasız cihazların doğası, şirketin sorunları gidermek için 14 ay (!) beklemesi ve araştırmacılar bulgularını yayınladıktan sonra ortaya çıkan skandal ayrıntılar. Öyleyse bu fantastik olduğu kadar absürt olan hikayeye başlayalım.
Lovense çevrimiçi ekosistemi
Bu hikayeyi bu kadar sıra dışı kılan ilk şey, mahrem oyuncaklar üreten Lovense’nin hem uzak mesafeli ilişki yaşayan çiftlere hem de yayın platformlarında çalışan kamera modelleri (web kamerası kullanan insan modeller) için hizmet vermesi.
Cihazları kontrol etmek ve kullanıcı etkileşimini sağlamak için şirket, çeşitli senaryolara uyarlanmış bir dizi yazılım ürünü tasarlamış:
- Lovense Remote: Mahrem cihazları kontrol etmek için kullanılan ana mobil uygulama.
- Lovense Connect : Lovense cihazları ile diğer uygulamalar veya çevrimiçi hizmetler arasında köprü görevi gören bir yardımcı uygulama. Akıllı telefon veya bilgisayara yüklenir ve bir oyuncağın Bluetooth üzerinden bağlanmasını sağlar, ardından harici kaynaklardan gelen kontrol komutlarını iletir.
- Lovense Cam Extension: Lovense cihazlarını akış platformlarına bağlayan Chrome ve Edge için bir tarayıcı uzantısı. Canlı yayınlar sırasında etkileşimli kontrol için Lovense Connect uygulaması ve OBS Toolset akış yazılımı ile birlikte kullanılır.
- Lovense Stream Master: Cihaz kontrol özelliklerini canlı yayın işlevselliği ile birleştiren, yayıncılar ve kamera modelleri için hepsi bir arada bir uygulama.
- Cam101: Lovense’nin yayın sitelerinde çalışan modeller için çevrimiçi eğitim platformu.
Tabii ki, bu kurulumun tamamı API’leri, SDK’ları, mini uygulamalar için dahili bir platformu ve daha fazlasını da içermektedir. Kısacası, Lovense sadece internete bağlı mahrem oyuncaklar değil, tam teşekküllü bir ekosistemdir.
Hizmet yönetimi ve video akışını birleştiren Stream Master uygulamasının kullanıcı arayüzü. Kaynak
Lovense altyapısında bir hesap oluşturursanız, bir e-posta adresi sağlamanız gerekir. Bazı hizmetler Google veya Apple ile giriş yapma seçeneği sunarken, Lovense hesabına kaydolmak için birincil yöntem e-posta adresidir. Bu ayrıntı önemsiz görünebilir, ancak keşfedilen güvenlik açıklarının temelinde yatmaktadır.
Lovense çevrimiçi ürünlerinde iki güvenlik açığı
Peki, tüm bunlar nasıl gelişti? 2025 yılının Temmuz ayı sonlarında, BobDaHacker olarak bilinen bir araştırmacı, Lovense’nin çevrimiçi ürünlerindeki iki güvenlik açığı hakkında ayrıntılı bir yazı yayınladı. Birçok ürün (Lovense Remote dahil) sosyal etkileşim özelliklerine sahiptir. Bu özellikler, kullanıcıların sohbet etmelerine, arkadaş eklemelerine, istek göndermelerine ve tanımadıkları kişiler de dahil olmak üzere diğer kullanıcılara abone olmalarına olanak tanır.
Lovense uygulamalarından birinin sosyal etkileşim özelliklerini kullanırken, BobDaHacker ilk güvenlik açığını fark etti: Başka bir kullanıcının bildirimlerini devre dışı bıraktığında, uygulama Lovense sunucusuna bir API isteği gönderiyordu. Bu isteğin içeriğini inceledikten sonra BobDaHacker, isteğin kullanıcı kimliği yerine kullanıcının gerçek e-posta adresini içerdiğini fark ederek şaşırdı.
Basit bir işlem (bildirimleri devre dışı bırakmak gibi) gerçekleştirildiğinde, uygulama sunucuya başka bir kullanıcının gerçek e-posta adresini içeren bir istek gönderiyordu. Kaynak
Daha ayrıntılı bir araştırma sonucunda, araştırmacı Lovense’nin API mimarisinin, başka bir kullanıcıyla ilgili herhangi bir eylem (örneğin, bildirimlerini devre dışı bırakma) için uygulamanın sunucuya bir istek gönderecek şekilde tasarlandığını keşfetti. Ve bu istekte, kullanıcının hesabı her zaman kayıt olduğu gerçek e-posta adresiyle tanımlanır.
Pratikte bu, kendi ağ trafiğini ele geçiren herhangi bir kullanıcının, uygulamadaki diğer kişilerin gerçek e-posta adreslerine erişebileceği anlamına geliyordu. Lovense uygulamalarının sosyal etkileşim özelliklerine sahip olduğunu ve kamera modelleriyle iletişim kurmaya olanak tanıdığını unutmamak önemlidir. Çoğu durumda, kullanıcılar platform dışında birbirlerini tanımazlar ve profillerine bağlı e-posta adreslerinin ifşa edilmesi, kimliklerinin açığa çıkmasına neden olabilir.
BobDaHacker, bulgularını Eva adlı başka bir siber güvenlik araştırmacısıyla paylaştı ve birlikte Lovense Connect uygulamasını incelediler. Böylece birlikte daha da ciddi bir güvenlik açığını keşfettiler: Uygulamada bir kimlik doğrulama token oluşturmak için yalnızca kullanıcının e-posta adresi gerekiyordu, parolaya gerek yoktu.
Bu, teknik beceriye sahip herhangi bir kişinin, kullanıcının e-posta adresini bildiği sürece, herhangi bir Lovense kullanıcısının hesabına erişebileceği anlamına geliyordu ve az önce öğrendiğimiz gibi, bu adres zaten ilk güvenlik açığını kullanarak exploit ile kolayca elde edilebiliyordu.
Lovense uygulamasında kimlik doğrulama token oluşturmak için, kullanıcının e-posta adresi yeterliydi, parolaya gerek yoktu. Kaynak
Bu tokenlar, Lovense ekosistemindeki çeşitli ürünlerde kimlik doğrulama için kullanıldı. Bu ürünler arasında şunlar yer alır:
- Lovense Cam Extension
- Lovense Connect
- Stream Master
- Cam101
Üstelik araştırmacılar, bu yöntemi kullanarak yalnızca normal kullanıcı profillerine değil, yönetici ayrıcalıklarına sahip hesaplara da erişim sağlamayı başardılar.
Lovense’nin güvenlik açığı raporlarına yanıtı
2025 yılının Mart ayı sonlarında, BobDaHacker ve Eva, Lovense ürünlerinde keşfettikleri güvenlik açıklarını, internet bağlantılı mahrem cihazların güvenliğini araştırmak ve iyileştirmek için çalışan bir grup olan The Internet Of Dongs Project aracılığıyla bildirdiler. Ertesi ay, 2025 yılının Nisan ayında, her iki güvenlik açığını da güvenlik araştırmacıları ile iletişim kurmak ve hata ödüllerini ödemek için daha geleneksel bir platform olan HackerOne’da yayınladılar.
Yetişkin oyuncağı üreticisi Lovense, raporu kabul etti ve hatta BobDaHacker ve Eva’ya toplam 4000 $ ödül ödemesi yaptı. Ancak, Mayıs ayında ve ardından Haziran ayında, araştırmacılar güvenlik açıklarının hala giderilmediğini fark ettiler. Lovense ile iletişimlerini sürdürdüler ve bu sırada hikayenin en tuhaf kısmı şekillenmeye başladı.
İlk olarak, Lovense araştırmacılara hesap ele geçirme güvenlik açığının Nisan ayında giderildiğini bildirdi. Ancak BobDaHacker ve Eva bunu kontrol edip bunun yanlış olduğunu doğruladılar; parola olmadan başka bir kullanıcının hesabı için kimlik doğrulama tokeni almak hala mümkündü.
E-posta ifşa güvenlik açığı ile ilgili durum daha da absürt bir hal almıştı. Şirket, sorunun tamamen çözülmesinin 14 ay süreceğini belirtti. Lovense, sadece bir ay içinde uygulanabilecek bir düzeltme yaptıklarını kabul etti, ancak uyumluluk sorunlarını önlemek ve eski uygulama sürümleri için desteği sürdürmek amacıyla bu düzeltmeyi uygulamamaya karar verdi.
Araştırmacılar ve üretici arasındaki görüşmeler birkaç ay daha devam etti. Şirket, güvenlik açıklarının giderildiğini defalarca iddia ederken, araştırmacılar da aynı tutarlılıkla hem e-postalara hem de hesaplara hala erişebildiklerini kanıtlıyorlardı.
Son olarak, Temmuz ayı sonunda BobDaHacker, güvenlik açıklarını ve Lovense’nin harekete geçmemesini anlatan ayrıntılı bir blog yazısı yayınladı, ancak bunu yapmadan önce şirkete önceden haber verdi. TechCrunch ve diğer yayın organlarından gazeteciler BobDaHacker ile iletişime geçtiler ve şirketin ilk kez bilgilendirilmesinden dört ay sonra, Ağustos ayı başında araştırmacının hala herhangi bir kullanıcının e-posta adresini tespit edebildiğini doğruladılar.
Ve bu, bununla da bitmedi. En skandal detaylar, BobDaHacker ve Eva’ya ancak araştırmaları yayınlandıktan sonra açıklandı.
İhmalin tarihi: Lovense’yi kim ve ne zaman uyardı?
BobDaHacker’ın çalışmaları medyada, bloglarda ve sosyal ağlarda büyük yankı uyandırdı. Sonuç olarak, raporun yayınlanmasından sadece iki gün sonra, Lovense nihayet her iki güvenlik açığını da düzeltti ve bu sefer, görünüşe göre, gerçekten düzeltti.
Ancak, bu hikayenin BobDaHacker’ın raporundan çok önce başladığı kısa sürede ortaya çıktı. Diğer araştırmacılar yıllardır Lovense’ye aynı güvenlik açıkları konusunda uyarıda bulunmuşlardı, ancak mesajları ya görmezden gelindi ya da örtbas edildi. Bu araştırmacılar, BobDaHacker ve onun araştırmasını konu alan yayınlarla hikayelerini paylaştılar.
Lovense’nin kullanıcı güvenliği ve gizliliğine karşı kayıtsızlığını tam olarak anlamak için, bu raporların zaman çizelgesine bakmanız yeterlidir:
- 2023: @postypoo olarak bilinen bir araştırmacı, her iki hatayı da Lovense’ye bildirdi ve karşılığında iki adet ücretsiz yetişkin oyuncağı teklif edildi, ancak güvenlik açıkları hiçbir zaman giderilmedi.
- Yine 2023: Araştırmacılar @Krissy ve @SkeletalDemise, hesap ele geçirmeyle ilgili güvenlik açığını keşfettiler. Lovense, sorunun çözüldüğünü iddia etti ve aynı ay içinde bir ödül ödemesi yaptı. Ancak, @Krissy’nin güvenlik açığının hala mevcut olduğunu belirten takip mesajı cevapsız kaldı.
- 2022: @radiantnmyheart adlı bir araştırmacı, e-postaları açığa çıkaran hatayı keşfetti ve bunu bildirdi. Mesaj dikkate alınmadı.
- 2017: Pen Test Partners şirketi, Lovense Body Chat uygulamasındaki e-posta açığa çıkma güvenlik açığını ve sohbet şifrelemesinin eksikliğini bildirdi ve bu konudaki araştırmasını yayınladı. Rapor dikkate alınmadı.
- 2016: The Internet Of Dongs Project, üç benzer e-posta açığa çıkma güvenlik açığı tespit etti. Tüm bunlar, Lovense’nin BobDaHacker’dan, en az sekiz yıldır bildikleri güvenlik açıklarını düzeltmek için, 14 ay süre vermesini istediği anlamına geliyor!
Dahası, BobDaHacker’ın raporu yayınlandıktan sonra, bu hataları yalnızca daha önce bildirmiş olan etik hackerlardan değil, aynı zamanda bir OSINT web sitesinin yaratıcısından ve onun arkadaşlarından da duydular ve onlar da bu durumdan hiç memnun değillerdi. Bu kişiler, görünüşe göre kendi amaçları için güvenlik açıklarını istismar ediyorlardı; özellikle de kullanıcı e-postalarını toplamak ve ardından anonimliklerini kaldırmak için. Pen Test Partners raporu 2017’den beri kamuya açık olduğu için bu durum şaşırtıcı değildir.
Gizliliğinizi koruma
Lovense’nin kullanıcı gizliliği ve güvenliğine yaklaşımı, en hafif tabirle, arzulanan çok şey içeriyor. Bundan sonra markanın cihazlarını kullanmaya devam edip etmemek, özellikle de bunları şirketin çevrimiçi hizmetlerine bağlayıp bağlamamak, her kullanıcının kendi başına vermesi gereken bir karardır.
Bizim payımıza düşen, yetişkinlere yönelik çevrimiçi hizmetlerle etkileşimde bulunmanız durumunda kendinizi ve gizliliğinizi nasıl koruyabileceğiniz konusunda bazı ipuçları sunmaktır.
- Bu tür hizmetlere kaydolurken her zaman ayrı bir e-posta adresi oluşturun. Bu e-posta sizi tanımlayabilecek hiçbir bilgi içermemelidir.
- Bu e-posta adresini başka hiçbir amaçla kullanmayın.
- Kayıt olurken, gerçek adınızı, soyadınızı, yaşınızı, doğum tarihinizi, ikamet ettiğiniz şehri veya kimliğinizi ortaya çıkarabilecek herhangi bir bilgiyi kullanmayın.
- Kolayca tanınmanıza yol açabilecek gerçek fotoğraflarınızı yüklemeyin.
- Hesabınızı güçlü bir parola ile koruyun. Parolanız en az 16 karakter içermeli ve ideal olarak büyük ve küçük harfler, rakamlar ve özel karakterlerin bir karışımından oluşmalıdır.
- Bu parola benzersiz olmalıdır. Veri sızıntısı durumunda diğer hizmetleri riske atmamak için asla başka hizmetler için kullanmayın.
- Bu hizmete özel olarak oluşturduğunuz parolayı ve e-posta adresini unutmamak için güvenilir bir parola yöneticisi kullanın. KPM ayrıca rastgele, güçlü ve benzersiz bir parola oluşturmanıza da yardımcı olabilir.
Yetişkin oyuncakları ve ilgili hizmetleri seçerken daha fazla bilgi sahibi olmak istiyorsanız, ilgilendiğiniz markalar hakkında bilgi bulabileceğiniz The Internet Of Dongs Project gibi özel kaynaklara bakmanızı öneririz.
Özel hayatınızı meraklı gözlerden nasıl koruyabileceğinize dair diğer yazılarımızı da inceleyin:
