知名成人玩具制造商Lovense近日因旗下智能设备应用程序存在高危漏洞，导致全球超2000万用户隐私与账户安全面临严重威胁。漏洞主要涉及两方面：一是通过/api/wear/genGtoken接口可获取用户加密密钥，仅需用户名即可1秒内自动化生成真实邮箱地址；二是攻击者可绕过密码验证生成有效令牌，直接接管任意账户，甚至获取管理员权限。

安全研究员BobDaHacker团队于2025年3月首次披露漏洞后，Lovense虽承诺修复，但以“维护旧版兼容性”为由拖延至7月仅解决账户接管问题，邮箱泄露漏洞修复则被推迟至14个月后。更令人担忧的是，该公司在2023年已收到类似漏洞报告却未彻底修复，且多次支付低额赏金后仍未能阻止攻击链利用。此次事件暴露了物联网设备厂商在隐私保护与商业利益间的失衡，成人用户群体面临骚扰、勒索等次生风险，行业亟需建立更严格的安全响应机制。

BleepingComputer

Lovense sex toy app flaw leaks private user email addresses

The connected sex toy platform Lovense is vulnerable to a zero-day flaw that allows an attacker to get access to a member's email address simply by knowing their username, putting them at risk of doxxing and harassment.