Подглядеть за незнакомцами и заблокировать чужой пояс верности: глупые уязвимости «умных» секс-игрушек

Sextech-бренды собирают всё больше данных, но порой не шифруют их и годами не закрывают лазейки.

13 февраля 2026 года японский производитель секс-игрушек Tenga сообщил о взломе корпоративной почты одного из сотрудников. По данным TechCrunch, «неавторизованный пользователь» мог получить доступ к письмам, которые содержали данные клиентов: имена, электронные адреса, детали о заказах и обращениях в службу поддержки.

Это не первый случай, когда производители товаров для взрослых становятся героями новостей из-за проблем с приватностью. Некоторые игнорируют их годами, продолжая агрегировать пользовательские данные, но не всем это сходит с рук.

По подсчётам Fortune Business Insights, в 2025 году мировой sextech-рынок, к которому относят технологичные секс-игрушки, VR-порно, секс-роботов и цифровые сервисы для мониторинга сексуального здоровья и секс-просвета, оценивался в $50,8 млрд (около 3,95 трлн рублей по курсу ЦБ на 5 марта 2026 года здесь и далее).

В 2026-м аналитики прогнозируют рост до $59,5 млрд (4,62 трлн рублей). Лидеры среди производителей: американская Vibease, британская Hot Octopuss, немецкие Wow Tech Europe и Satisfyer, китайские DS Doll Robotics и Lovense, а также шведская Lelo.

Технологичными секс-игрушками можно управлять удалённо через приложение, подключаясь к Bluetooth и Wi-Fi. Некоторые модели открывают доступ к теледильдонике – формату секса на расстоянии, когда устройства партнёров синхронизируются через интернет.

Часть производителей начали встраивать в свои игрушки нейросети и поддержку VR-технологий. Например, приложения вибраторов Kissi и Lioness умеют фиксировать процесс возбуждения, чтобы потом воспроизводить самые «успешные» сценарии использования. А мастурбатор Kiiro Keon позволяет синхронизировать ритм и пульсацию игрушки в такт видеоряду на смартфоне, компьютере или VR-очках.

На крупнейших техновыставках секс-игрушки представляют наравне с технологиями для здоровья и «умного» дома. Так, на зимней CES 2026 норвежский бренд Ohdoki показал интерактивный мастурбатор The Handy 2 за $169 (примерно 13 тысяч рублей) c креплением для «безручного» использования. Он тоже синхронизируется с видео для взрослых и играми.

В 2017 году пользователь устройства Lovense сообщил в Reddit, что приложение записало в логи сеанс использования без его ведома и сохранило в локальную папку аудиофайл на шесть минут, хотя доступ к микрофону он дал только для использования в чате.

В том же году хакер Scubarda рассказал, что смог заполучить доступ к анальной пробке Lovense с помощью сканера устройств с технологией Bluetooth Low Energy.

В июле 2025 года блогер BobDaHacker, частично ссылаясь на ранние исследования британской кибербез-компании Pen Test Partners, опубликовал детали уязвимостей в продукции Lovense.

Исследователи выяснили, что в API-запросах на сервер производителя вместо обезличенных ID передаются электронные адреса в открытом виде. Получить доступ к ним можно было при перехвате сетевого трафика. Lovense при этом утверждала в собственной политике конфиденциальности, что «все данные пользователей зашифрованы».

Приложение также генерировало токены аутентификации (gtoken) без пароля. То есть, зная только электронную почту, злоумышленник мог взломать чужой аккаунт и использовать данные оттуда в том числе для вымогательств и запугивания. А так как на один и тот же email-адрес часто регистрируются во всех сервисах — от банковских до соцсетей, — теоретически можно попытаться подобрать к ним пароль.

В 2018 и 2019 годах пользователи в США подавали против компании коллективные иски с требованием компенсации — за нарушение федерального закона о прослушке, вторжение в частную жизнь и неосновательное обогащение. Последний похожий иск выдвинули в 2025 году.

В том же 2025 году нидерландские ритейлеры Bol и EasyToys приостановили продажи игрушек Lovense в ответ на неэтичное обращение компании с личными данными пользователей. Новостей о судебных решениях пока нет.

О проблеме с утечкой данных Pen Test Partners сообщили Lovense ещё в мае 2018-го. Но лазейки, по словам TheBobHacker, закрыли только в июле 2025 года — после давления общественности.

В апреле 2020 года Pen Test Partners нашли уязвимость в мужском поясе верности Cellmate китайского бренда Qiui — он позиционирует продукт как способ передать партнёру контроль над доступом к своему телу через приложение.

Команда обнаружила уязвимость, аналогичную проблемам Lovense. Запросы к серверным API обрабатывались без аутентификации — только по идентификатору пользователя (member code), который задаётся по дате регистрации в сервисе. Лазейка позволяла получить доступ к массиву личных данных пользователя, включая его имя, номер телефона, дату рождения и точные координаты места, где последний раз открывали приложение.

С помощью шестизначного кода также можно было «заставить» сервер игнорировать запросы приложения на разблокировку пояса. В устройстве не было аварийного отключения, так что единственный способ снять его в случае блокировки – использовать, например, болгарку или кусачки. В соцсетях есть видеоинструкции.

Pen Test Partners семь раз отправляли запрос на устранение проблем в Qiui и ритейлерам в Великобритании, в том числе через журналистов, но проблему не решали. Глава Qiui Джейк Го тогда сказал TechCrunch, что компания не бездействует, просто ресурсов мало, а каждая попытка создаёт новую проблему.

После раскрытия уязвимости один из злоумышленников начал атаковать пользователей мобильного приложения Qiui, удалённо блокируя их пояса. Жертвам предлагали заплатить 0,02 биткоина — около $270 на момент атак (21 тысяча рублей).

В 2022 году эксперт по кибербезопасности Кен Мунро рассказал о проблемах Cellmate на конференции TED. На данный момент модель продается на сайте производителя под новым названием Cag.Ink.

Производитель секс-игрушек Svakom привлёк внимание в 2015 году, когда начал продавать вибратор Siime Eye за $250 (около 19,4 тысячи рублей) с камерой в кончике устройства. Подключив его к Wi‑Fi, можно было вести видеотрансляцию в реальном времени и делать фото и видео.

Исследователи Pen Test Partners заметили в Android‑приложении Siime Eye названия библиотек вроде wingedcamlib и skyviper. В команде Sky Viper, которая делает камеры для дронов, в ответ на запрос Pen Test Partners предположили, что часть кода для Svakom написали авторы ранней версии приложения Sky Viper.

Паролем для доступа к Wi‑Fi‑точке, которую создавал вибратор, было «88888888» — счастливое число в Китае. Так что любой, кто находился в радиусе действия сети, мог подключиться к чужой трансляции с камеры, просто прочитав инструкцию к устройству.

В 2016 году на хакерской конференции Def Con новозеландские исследователи под псевдонимами goldfisk и follower рассказали о проблемах с безопасностью игрушек We‑Vibe 4 Plus от Standard Innovation. Они показали, что Bluetooth‑соединение было слабо защищено и теоретически позволяло посторонним перехватить управление устройством в зоне действия сигнала.

Приложение для управления игрушкой также собирало детальные телеметрические данные: дату и время каждого использования, выбранные режимы и уровни интенсивности, температуру устройства.

После конференции две пользовательницы подали против компании коллективный иск, обвинив её в том, что не предупредила о реальном объёме сбора данных, и выиграли дело.

В 2017 году производитель выплатил почти $3,75 млн (291,75 млн рублей) владельцам We‑Vibe 4 Plus. Тем, кто использовал устройство через приложение We‑Connect, полагалось до $10 тысяч (около 778 тысяч рублей) каждому. Тем, кто купил его, но не пользовался приложением, до $199 (примерно 15,4 тысячи рублей).

Большинство производителей секс-игрушек утверждают, что собирают данные об использовании, чтобы улучшать продукты. Например, если увидят, что пользователи чаще выбирают максимальные уровни интенсивности, задумаются о выпуске более мощных моделей в следующих линейках. Информация пригождается и при настройке таргетированной рекламы новых функций и продуктов, добавляют в Lelo.

Риск в том, что часть компаний могут продавать чувствительные данные дата-брокерам и прочим третьим лицам, предупреждает защитник прав потребителей в Pixel Privacy Крис Хаук.

О том же говорит эксперт по защите приватности потребителей в Comparitech Пол Бишофф. По его словам, брокеры потом могут сопоставить полученные от производителей данные с информацией из других источников: с электронными почтами, идентификаторами устройств, IP‑адресами, «куками».

Если использовать игрушку без приложения бессмысленно, стоит хотя бы «пробежаться глазами» по политике конфиденциальности, перед тем как соглашаться с ней, напоминает кибербез-специалист Катрина Россени.

Дефолтные данные — Wi‑Fi‑пароль, логин, PIN‑коды — лучше сразу менять. А самому приложению стоит запретить доступ к геолокации, микрофону и камере, если только они не нужны при использовании.

Среди других рекомендаций от отраслевых экспертов: отказываться от сбора данных, отклонять всплывающие предложения Siri «Учиться на этом устройстве», а также уменьшить мощность Bluetooth, чтобы подключиться можно было, только находясь вплотную к продукту. Сделать это можно в настройках смартфона, включив режим экономии энергии и отключив поиск Bluetooth-устройств.

#редакция