Il produttore giapponese di sex toy Tenga ha comunicato ai propri clienti una significativa violazione dei dati. L'incidente è scaturito dall'accesso non autorizzato alla casella email professionale di un dipendente, come riportato il 19 febbraio 2026 dalla testata TechCrunch.
Secondo quanto emerso dall'email ottenuta da TechCrunch, un attacco di phishing ha consentito a un malintenzionato di infiltrarsi nell'account email aziendale. L'attaccante è riuscito a sottrarre nomi, indirizzi email e la corrispondenza storica tra i clienti e il servizio clienti.
Questa corrispondenza includeva dettagli su ordini o richieste di assistenza.
Il malintenzionato ha inoltre sfruttato la casella compromessa per inviare messaggi spam ai contatti del dipendente, inclusi clienti e altri collaboratori interni.
Entità e impatto della violazione
Un portavoce di Tenga ha confermato a TechCrunch che un'analisi forense ha stimato il coinvolgimento di “circa 600 persone” negli Stati Uniti. Non è ancora chiaro se l'incidente abbia interessato clienti al di fuori degli Stati Uniti. Tuttavia, la comunicazione è stata inoltrata tramite Tenga Store USA, rendendo l'impatto globale ancora da definire con precisione.
Risposta dell’azienda e misure di sicurezza
A seguito della scoperta dell'incidente, Tenga ha immediatamente provveduto a resettare le credenziali dell'account compromesso.
Inoltre, ha implementato l'autenticazione a due fattori (MFA) su tutta la propria infrastruttura. L'azienda ha raccomandato ai clienti di aggiornare le proprie password e di prestare attenzione a eventuali email sospette, sebbene non siano state rilevate violazioni relative alle password stesse.
Genere di dati esposti e rischi connessi
La posta elettronica compromessa conteneva comunicazioni relative a richieste di assistenza e conferme d'ordine. Sebbene questi dati non includano informazioni sensibili come numeri di carte di credito o codici fiscali, la loro esposizione può aumentare il rischio di phishing mirato, furto d'identità o frodi bancarie.
L'esposizione di abitudini di acquisto relative a prodotti intimi aggiunge un ulteriore livello di sensibilità, potendo incidere sulla privacy personale dei clienti.
Contesto e possibili implicazioni normative
Questo episodio si inserisce in un contesto di incidenti simili che hanno interessato il settore dell'industria per adulti, come quello di Lovense nel 2025. Qualora fossero coinvolti clienti non americani, Tenga potrebbe trovarsi ad affrontare obblighi di notifica ai sensi del GDPR e della legge giapponese sulla protezione dei dati personali. Negli Stati Uniti, normative statali impongono comunicazioni in caso di esposizione di nomi unitamente ad altri dati identificativi.
Best practice per i clienti e prossimi passi
Si consiglia ai clienti di evitare di cliccare su link sospetti, di navigare direttamente dal sito ufficiale, di cambiare le password (soprattutto se riutilizzate su altri servizi) e di attivare l'MFA ovunque sia possibile.
Poiché i dettagli sull'entità e la natura dell'esposizione sono ancora incompleti, è opportuno monitorare eventuali aggiornamenti ufficiali da parte di Tenga e delle autorità competenti.
Tenga, fondata nel 2005 a Tokyo, ha distribuito oltre 162 milioni di prodotti a livello globale. L'accaduto evidenzia l'importanza cruciale della protezione dei canali comunicativi aziendali, come le email dei dipendenti, per salvaguardare la riservatezza dei clienti e l'integrità del brand.
