Il 13 febbraio 2026, TechCrunch ha rivelato un grave incidente di sicurezza che ha colpito Tenga, storico produttore giapponese di sex toys. Un accesso non autorizzato alla casella email professionale di un dipendente ha esposto dati sensibili dei clienti, tra cui nomi, indirizzi email e conversazioni storiche. Queste ultime potrebbero contenere dettagli di ordini o richieste al servizio clienti, con il rischio di rivelare informazioni intime legate ai prodotti acquistati.
Dettagli della violazione
Secondo la comunicazione inviata ai clienti e riportata da TechCrunch, l’intrusione è avvenuta tramite un account email aziendale compromesso.
L’hacker ha avuto accesso all’intera inbox del dipendente, incluse conversazioni passate che potrebbero contenere riferimenti a ordini o richieste di assistenza.
La gravità della situazione è amplificata dalla natura dei prodotti: la rivelazione di comportamenti intimi o discreti genera implicazioni non solo in termini di privacy, ma anche di potenziali danni reputazionali o personali per i clienti coinvolti.
Risposta di Tenga e contromisure
Dopo aver scoperto la compromissione dell’account, Tenga ha prontamente reimpostato le credenziali del dipendente coinvolto e ha abilitato l’autenticazione a più fattori (MFA) su tutti i sistemi aziendali, una misura ritenuta basilare nella sicurezza moderna.
Tuttavia, l’azienda non ha chiarito se l’MFA fosse attiva sull’account violato prima dell’incidente.
Inoltre, Tenga ha consigliato ai clienti di cambiare la propria password — nonostante al momento non sia emersa alcuna evidenza di compromissione di dati delle credenziali — e di prestare attenzione alle email sospette, in particolare provenienti da contatti legati al dipendente coinvolto.
Ambito geografico e scala potenziale
La notifica ai clienti proviene dalla Tenga Store USA, lasciando incerta l’estensione geografica della violazione. Pur non essendo stata comunicata la cifra di clienti coinvolti, Tenga dichiara di aver distribuito oltre 162 milioni di prodotti nel mondo, suggerendo un potenziale di impatto molto ampio, qualora le comunicazioni esposte includano acquirenti da diverse regioni.
Contesto dell’industria e precedenti
Non si tratta di un caso isolato: anche altri protagonisti del settore dei sex toys hanno subito violazioni simili. Ad esempio, a luglio 2025 TechCrunch aveva documentato la falla di sicurezza di Lovense, dispositivo IoT, che consentiva di estrarre email utente e persino di assumere il controllo degli account. Un rischio che, nei contesti di camming e privacy sessuale, ha implicazioni significative di potenziale ricatto o danno personale.
Un’approfondita indagine sottolinea come i sensori biometrici, i dati comportamentali e le conversazioni private collegate agli acquisti sessuali rappresentino una superficie di rischio particolarmente sensibile. Gli attaccanti possono sfruttare lo stigma sociale per aumentare la leva di estorsione o ricatto.
Implicazioni e strategie di mitigazione
Il caso Tenga evidenzia la necessità di adottare misure rafforzate anche per asset apparentemente “minori”, come gli account email dei dipendenti: l’MFA deve essere configurata preventivamente e i diritti di accesso limitati per ridurre l’efficacia di eventuali intrusioni.
Contestualmente, è indispensabile migliorare la consapevolezza dei clienti: informazioni su come distinguere email legittime da possibili tentativi di phishing diventano essenziali nel post-breach. Sul piano legale, una violazione di dati così sensibili — possibili informazioni intime associate a identità reali — può attivare interventi delle autorità per la protezione dei dati personali, sia in Giappone sia all’estero.
La frequenza crescente di incidenti anche in settori meno regolamentati richiede un ripensamento normativo: l’industria dei sex toys dovrebbe essere indirizzata verso standard minimi di sicurezza, come policy di disclosure delle vulnerabilità, applicazione di protocolli di autenticazione sicura e audit esterni periodici.
Questo episodio impone una riflessione più ampia: i rischi digitali non risparmiano nemmeno i prodotti legati all’intimità, dove la privacy è cruciale e le conseguenze di una violazione possono essere personali, profonde e durature.
