Один из крупнейших мировых производителей товаров для взрослых, японская компания Tenga, уведомила часть своих клиентов о компрометации персональных данных. Инцидент связан с взломом корпоративного почтового ящика сотрудника, через который злоумышленник получил доступ к обширной переписке с пользователями и деловым контактам.
Что именно произошло при взломе почты Tenga
Согласно копии уведомления, оказавшейся в распоряжении издания TechCrunch, атакующий скомпрометировал рабочий email‑аккаунт сотрудника Tenga. После этого он получил доступ ко всем сообщениям в ящике, включая обращения клиентов в поддержку и деловую переписку.
По данным из письма, в результате инцидента могли быть раскрыты имена и адреса электронной почты клиентов, а также содержимое исторических переписок. Эти сообщения, как отмечает компания, потенциально включали детали заказов, вопросы по доставке и обращения в службу поддержки.
Помимо чтения почты, скомпрометированный аккаунт использовался для рассылки спама: письма отправлялись на адреса из адресной книги сотрудника, включая клиентов Tenga. Это повышает риск целевых фишинговых атак под видом официальной коммуникации бренда.
Какие пользователи Tenga могли пострадать
Уведомление об инциденте было разослано от имени Tenga Store USA, что указывает как минимум на затронутых клиентов из США. При этом остается неясным, ограничивается ли утечка исключительно американским сегментом или же затронуты покупатели из других стран, использующие этот же канал коммуникации.
Представители Tenga отказались комментировать инцидент для прессы, поэтому объем и география утечки официально не уточняются. Это типичная ситуация для коммерческих компаний, которые, с одной стороны, обязаны уведомлять клиентов и регуляторов, а с другой — стремятся минимизировать репутационные потери.
Ответ компании: многофакторная аутентификация и смена учетных данных
После обнаружения взлома специалисты Tenga сменили логин и пароль скомпрометированного аккаунта и заявили о включении многофакторной аутентификации (MFA) «для всех систем». MFA — это механизм, при котором для входа в учетную запись требуется не только пароль, но и дополнительный фактор (одноразовый код, аппаратный токен, биометрия и т.п.).
Компания не стала уточнять, была ли многофакторная аутентификация активна на взломанном почтовом ящике до атаки. Если MFA не использовалась, то компрометация могла произойти, например, из‑за утечки или подбора пароля, повторного использования пароля на другом сервисе или успешной фишинговой атаки на сотрудника.
Клиентам Tenga рекомендовано сменить пароли от своих аккаунтов и проявлять повышенную осторожность в отношении подозрительных писем, даже несмотря на то, что в уведомлении подчеркивается: сами учетные данные пользователей (логины и пароли от личных кабинетов) напрямую утечкой не затронуты.
Риски конфиденциальности при покупке товаров для взрослых
Особенностью этого инцидента является чрезвычайно чувствительный характер информации. Для значительной части пользователей важно не допустить раскрытия факта покупки товаров для взрослых, а также их содержания. Даже «простые» данные — имя, email и история общения с поддержкой — в данном контексте могут рассматриваться как конфиденциальные и способные нанести серьезный репутационный и психологический ущерб при раскрытии.
Утечка подобной информации создает благодатную почву для шантажа, вымогательства и таргетированного фишинга. Злоумышленники могут представляться службой поддержки магазина, ссылаться на реальные детали заказов и таким образом повышать доверие жертвы, добиваясь раскрытия дополнительных данных или оплаты «за удаление информации».
Индустрия интимных гаджетов и киберриски: Tenga — не первый случай
Сегмент «умных» секс‑игрушек уже не раз оказывался в центре скандалов, связанных с кибербезопасностью. Летом 2025 года было выявлено, что платформа для управления устройствами Lovense содержала уязвимость: зная только имя пользователя (username), можно было получить его реальный email‑адрес. Такая ошибка в защите приватности позволяет злоумышленникам массово деанонимизировать пользователей и связывать их учетные записи с реальными почтовыми ящиками.
Еще ранее, в 2017 году, пользователи заметили, что приложение Lovense записывало звуковую дорожку во время использования устройства и сохраняло аудиофайлы в локальной директории смартфона или планшета. Хотя разработчик утверждал, что файлы не отправлялись на сервер и были связаны с функцией вибрации, сам факт скрытой записи вызвал серьезные вопросы к прозрачности обработки данных и соблюдению принципа минимизации собираемой информации.
Ключевые уроки для производителей IoT и интернет‑магазинов
С точки зрения кибербезопасности инцидент с Tenga подчеркивает несколько базовых, но критичных принципов:
1. Обязательное применение MFA для всех почтовых и облачных аккаунтов. Корпоративная почта — один из главных векторов атак. По оценкам отраслевых исследований, значительная доля взломов компаний начинается именно с компрометации email‑аккаунтов через фишинг или утечки паролей.
2. Принцип минимизации данных. В переписке с клиентами не стоит хранить лишние чувствительные сведения (например, полные реквизиты платежей или детальные описания интимных предпочтений), если в этом нет бизнес‑необходимости.
3. Регулярное обучение сотрудников фишингу и социальным атакам. Даже продвинутая техническая защита бессильна, если работник вводит свои учетные данные на поддельной странице или открывает вредоносное вложение.
4. Разделение систем и ограничение прав доступа. Сотрудник должен иметь доступ только к тем данным, которые нужны ему для работы. Это снижает масштаб потенциальной утечки при компрометации одного аккаунта.
Как защитить себя пользователю: практические рекомендации
Пользователям, особенно при покупке чувствительных товаров и использовании сервисов для взрослых, разумно придерживаться нескольких базовых правил цифровой гигиены:
Использовать отдельный email для подобных покупок и онлайн‑сервисов, не связанный с основной рабочей или личной почтой.
Создавать уникальные, сложные пароли для каждого сервиса и хранить их в надежном менеджере паролей, а не в браузере или заметках.
Включать многофакторную аутентификацию везде, где это доступно, особенно для почты и аккаунтов в интернет‑магазинах.
Быть внимательными к письмам, в которых просят перейти по ссылке, срочно подтвердить оплату, ввести пароль или данные карты, даже если письмо выглядит как официальное уведомление от известного бренда.
Инцидент с Tenga еще раз показывает: утечка даже минимального набора персональных данных становится особенно опасной, когда речь идет о чувствительных категориях информации. Компании, работающие на рынке интимных товаров и IoT‑гаджетов, должны закладывать расширенные требования к конфиденциальности на уровне архитектуры сервисов. Пользователям же стоит относиться к защите цифровой приватности так же серьезно, как к защите своих финансовых данных — и не откладывать на потом базовые меры кибербезопасности.
