nrk.no
Illustrasjon av en kvinne som tar på vulvaen sin. I den andre hånden holder hun en mobil. Ved siden av henne ligger en mann i samme akt. Omkring dem er lysende sirkler som kaster lilla og gult lys over dem.
SÅRBAR: Hanna og Alexander fikk sjokk da de hørte om de tidligere svakhetene i sikkerhetssystemet til sexleketøyet. Illustrasjon: Veronica Luthcke

Sexleketøy lagret intim informasjon ulovlig

– Jeg var ganske stressa for at de hadde kommefjeset mitt.

Se for deg at du er 27 år gammel, nyforelska og nettopp har flyttet 5 mil fra kjæresten din. Avstanden er uutholdelig, følelsene er mange, og du stiller deg samme spørsmål om og om igjen: 

Hvordan skal dere bevare gnisten?

For kjæresteparet Hanna (27) og Alexander (29) ble løsningen på et av problemene en parvibrator som kan kontrolleres på tvers av by- og landegrenser.

– Vi er ganske kåte begge to, og det var ekstremt mye sex det første halvannet året. For å holde det ved like, så tenkte jeg at det var gøy, forteller Alexander. 

Men leketøyet skulle skape mer stress enn glede. 

Etter et år ble Alexander oppmerksom på at selskapet bak produktet hadde blitt dømt for å ha samlet inn privat data fra leketøyet – uten at kundene visste om det.

Kjæresteparet omtales kun med fornavn, av personlige hensyn.

Filmet alt

– Jeg var ganske stressa for at de hadde kommefjeset mitt. Det er noe jeg ikke vil at noen andre skal se. Jeg vil ikke se det selv engang, forteller Alexander.

Han kjøpte det Bluetooth-baserte sexleketøyet We-Vibe 4 Plus i 2018. Sammen med det fysiske leketøyet som var tilpasset en vagina, fulgte en app der paret kunne chatte, streame videoer og snakke til hverandre: «We Connect».

– Vi har ikke bare filma ansiktene våre, for å si det sånn. Alt er filmet, forteller kjæresten Hanna.  

– Eller i hvert fall sendt til hverandre, presiserer Alexander.  

Den som har kontroll i appen, kan styre de to vibratorene leketøyet består av og stille inn på ulike vibrasjonstakter.  

– Du syntes jo det var gøy å lage sånne egne vibrasjoner, flirer Hanna.

– Ja, man kan lage egne rytmer også. Det føltes litt som at jeg var der og fingra deg, svarer Alexander. 

De intime øyeblikkene skulle senere vise seg å være mulig for fremmede å få innblikk i.  

Illustrasjon av en hånd som holder en mobil, i mobilen vises ansiktet til en mann med åpen munn og lukkede øyne. Han har bar overkropp. Omkring han er små glødende sirkler som kaster lys over telefonen.
BØTELAGT: Selskapet bak «We Connect» fikk bot for ikke å ha informert om hva de samlet inn av informasjon. Illustrasjon: Veronica Lüthcke

Samlet inn intim aktivitet

Det er den kanadiske sexleketøy-produsenten We-vibe som har laget produktet. I 2017 ble de dømt for å ha sporet kundenes seksuelle aktivitet, og moderselskapet «Standard Innovation» måtte betale over 27 millioner norske kroner (4 millioner kanadiske dollar), ifølge «The Guardian».  

Selskapet skal ha samlet data om temperaturen på produktet, vibrasjon og intensitet – og dermed avslørt intim informasjon uten kundenes kunnskap om det, skriver den britiske avisen.  

Alexander fikk først vite om hendelsen et år etter å ha kjøpt parvibratoren. Da en bekjent fortalte han om dommen, fikk han dårlig samvittighet.

– Jeg husker at det var ganske ubehagelig. Det jeg først tenkte på, var at det var jævlig kjipt å ha utsatt kjæresten min for noe dumt.

Så ble han sint.

– Jeg forventer en ganske høy grad av diskresjon fra en sex-app når den behandler sånn type info. Og når de da til en viss grad bare driter over hele det, så blir jeg ganske skuffa, egentlig, sier han.   

– Hvis de har noe video eller et eller annet, da klikker det for meg, ass. Det er utrolig nasty, sier Hanna.

Seksuelt overgrep

Produsenten av produktet har også fått kritikk etter at det angivelig var mulig å ta kontroll over vibratoren om man var innen Bluetooth-rekkevidde.

– Man kan skru den på og pirre hverandre når man er på byen, når man er på bussen eller når man er på et utested. Hvor som helst, forteller Alexander om hvordan vibratoren fungerer. 

Etter at sårbarheten til produktets sikkerhetssystem ble avslørt, ble blant annet spørsmålet om hvorvidt det er seksuelt overgrep eller ikke hvis vibratoren blir aktivert uten samtykke, en offentlig debatt.

Men den tanken har aldri slått kjæresteparet.

– Jeg skjønner at det ubehagelig at noen andre styrer hva du føler i kjønnsorganet ditt uten at du har samtykket til det. Det blir litt abstrakt. Jeg ser at man kan kalle det et seksuelt overgrep. Det blir på måte uten et ansikt, sannsynligvis – man hadde ikke nødvendigvis visst at det var noen som gjorde dette her, reflekterer Alexander.

Hanna synes det er absurd å tenke på.

– Det blir nesten litt komisk, men jeg ser det er problematisk. Overgrep eller ikke. Det er i hvert fall utrolig ubehagelig og ekkelt å tenke på.

Illustrasjon av en lilla vibrator, omringet av små glødende sirkler som lyser på det glinsende sex-leketøyet.
CONNECT: Vibratoren kobles til appen «We-Connect». Illustrasjon: Veronica Lüthcke

Hacket vibratoren

Sexleketøyet ble angivelig hacket på Def Con i USA i 2016, året før selskapet fikk bot.

I regi av P3-podkasten «Pålogga» forsøker den «etiske hackeren» Ken Munro å snoke i appen til sexleketøyet. Han jobber vanligvis med å se etter svakheter i datasystemer på vegne av dem som eier systemet, og holder seg alltid innenfor lovens grenser.

– I løpet av årene har vi gjort ganske mye uavhengig forskning på sikkerheten til smarte sexleketøy, inkludert en der vi oppdaget at brukeren kunne spores, sier hackeren til «Pålogga».

Han forteller at det ble funnet svakheter i flere liknende sexleketøy da de først ble produsert.

– Det er en enorm invasjon av privatlivet ditt.

Når han kikker nærmere på sexleketøyet til Hanna og Alexander, ser han kjapt at for å kunne bruke appen «We-Connect», må man gi den tilgang til video og bilde. Det betyr ikke nødvendigvis at noen kan se bildene og videoene, men at appen krever tilgang til kamera og mikrofon, slik at de to partene kan dele det seg imellom.

– Appen må være i stand til å behandle og lagre data i en liten periode, ellers ikke ville appen fungere, påstår Munro.

Til tross for dette har We-Vibe presisert i en e-post til Alexander at de ikke lagrer brukerdata.

Skjermdump av mail til Alexander: 

Dear Alexander, 
Thank you for contacting We-Vibe CustomerCare. What user data? We do not collect any user data from customers.

Thank you for your patience, 
Warm regards, 
We-Vibe Customer Care Team 
Care@we-vibe.com
SAMLER IKKE INN: We-Vibe sitt svar på spørsmål om de samlet inn data. Screenshot: Alexander

– Jeg tror We-Vibe mener at de ikke gjør noe med dataene de samler inn, men de må samle det, og at de aktivt sletter dataene når de er samlet inn, tror Munro.

– Kan de ha bilde av brukernes ansikt når de får orgasme?

– Hvis ansiktet ditt er synlig på kameraet, vil dataene lagres en periode. Det er veldig vanskelig å si om det blir fjernet på riktig måte etterpå av leverandøren. Men det er svært sannsynlighet at den lagres, i det minste i en periode.

Han tror likevel på at selskapet ikke nødvendigvis har noen intensjon om å samle inn personlige data.

– Vår erfaring med å finne sårbarheter i leketøy for voksne er at de faktisk samler inn data. Noen ganger samles det inn uten å ta hensyn til personvernsimplikasjonene, noen ganger samles det inn ved et uhell, og noen ganger for det vi produsenten kaller «produktforbedring».

Juridisk problematisk

 – Det virker jo som at de prøver å snike seg unna her på et eller annet vis. Det er veldig rart hvis de har en sånn tjeneste som ikke lagrer eller behandler noe personopplysninger. Det må være første gang noen klarer det, mener advokat Jan Sandtrø om responsen fra selskapet.

Sandtrø er spesialisert innenfor teknologi og personvern og er godt vant til å finlese det de færreste av oss gidder: vilkår og betingelser.

Han viser til vilkårene for appen der det står at de trenger «begrenset data»: enhetens maskinvare, operativsystem, unike enhet-identifikatorer, IP-adresse, språkinnstillinger, i tillegg til dato og klokkeslett som appen kobler opp til deres servere.

Det står også at de bruker informasjon for å sikre utvekslingen av meldinger og vibrasjonskontroll mellom partnere og bruker tredjepartsleverandører for å hente ut analytisk informasjon. Dette beskriver de som anonymisert informasjon, og den inkluderer vibrasjonsmodus, hvilke app-elementer som brukes, «screens viewed», tiden man bruker i appen og produktet som knyttes til appen.

– Kan dette være et brudd på norske regler?

– Hvis de samler inne for mye enn det de trenger, så er nok det et brudd. Vi har et prinsipp om at du aldri skal samle inn eller bruke flere personopplysninger enn du trenger, og her kan det se ut som de samler inn noe mer. Men det viktigste er jo at de skal si ifra hva de samler inn, påstår Sandtrø.

Han ser flere utfordringer ved vilkårene.

– En IP-adresse kan aldri være anonymisert, det er en personopplysning etter norsk lov og EU-lov. Så hvis de sier at det er anonymisert, så bryter de loven.  

Enten så forstår de seg ikke på personvern, eller så forsøker de å «sminke grisen», påstår Sandtrø.

– Det er jo et problem. Det er ikke ærlig å ikke si alt det de gjør.

Illustrasjon av en kvinne som tar på vulvaen sin. I den andre hånden holder hun en mobil. Ved siden av henne ligger en mann som holder rundt penisen sin, også med en mobil i hånda. Omkring dem er lysende sirkler som kaster lilla og gult lys over dem.
ANONYM: We-Vibe påstår å ikke samle inn personlige data. Illustrasjon: Veronica Lüthcke

Etter at moderselskapet deres ble dømt i 2017, gikk We-Vibe ut med en pressemelding der de hevdet å ha forbedret sikkerheten i appen. 

I dag har selskapet slått seg sammen med Womanizer Group Management GmbH og dannet selskapet WOW Tech group.

Da «Pålogga» tok kontakt med WOW Tech, presiserte den europeiske kommunikasjonsrådgiveren for selskapet, Verena Singmann, gjentatte ganger at dataen som samles inn er fullstendig anonyme og at de har forbedret sikkerheten.

Men advokat Sandtrø er fortsatt skeptisk.

– De svarer ikke på spørsmålet om hvordan de kan sørge for at dataene ikke knyttes til brukere. Det er ulike måter å gjøre dette på, men på et tidspunkt er det mulig å knytte dataene til brukere, skriver han i en e-post.

Når det gjelder lyd- og videoopptak sier han som hackeren Munro:

– Vi vet ikke om de bare strømmer eller om de lagrer.

På det svarer Singmann at all kommunikasjon i appen mellom partnere, inkludert meldinger og bilder, blir ryddet etter hver økt, og at den ikke lagres i appen.

– Ingen metadata lagres, verken i appen eller på serverne våre. Det er derfor ikke mulig at noen av våre ansatte har tilgang til bilder, video eller lyd fra våre brukere, skriver hun.

Situasjonen i dag viser at selskapet ikke har kommet dit at de informerer tilstrekkelig, mener likevel Sandtrø.

– Det er så mange apper og tjenester der ute som tråkker over. Så man skal være veldig varsom, spesielt om man deler opplysninger som er sensitive, oppfordrer han.

Holder seg unna sexleketøy-apper

For Hanna og Alexander er det ingen krise om noen får vite vibrasjons-innstillingene de bruker, så lenge ingen sitter på videomateriale av dem. Men Hanna kjente seg likevel dårlig da hun ble oppmerksom på mengden med data selskapet samlet inn.

– Jeg hadde aldri tenkt over alt det med personvern og samling av data. I ettertid så fikk jeg en kvalm følelse i kroppen, forteller hun.

I dag holder de seg for det meste til analoge sexleketøy.

– Jeg holder meg unna apper relatert til sexleketøy. Jeg vet ikke om det er et bevisst valg eller ikke, men jeg fant noe bedre, forteller Alexander.

– Ville du ha vurdert å bruke samme sexleketøy igjen i framtiden?

– Det er ikke akkurat en gulrot å begynne med den igjen når de holder på sånn som de gjør, sier han.

I en e-post til P3.no ønsker Verena Singmann, den europeiske kommunikasjonsrådgiveren for WOW Tech, å presisere at ingen kundedata har blitt hacket eller kompromittert, og ingens individuelle appbruk har blitt overvåket.

– Vi samlet inn spesifikke aggregerte data om appbruken, slik som vibrasjonsintensitetsnivå eller prosessorbrikkens temperatur dersom brukere var registrert. Disse dataene var utelukkende ment og brukt til å forbedre produktene våre. Vi koblet aldri de innsamlede dataene til individuelle brukere, eller forsøkte å aktivt spore folks sexliv. Likevel vet vi at vi burde ha spurt og informert folk eksplisitt om dataene vi samlet inn.

Singmann skriver videre at selskapet har lært av sine feil, og at de har oppdatert We-Connect-appen med sikkerhetstiltak og ny personvernerklæringen.

Hun forteller at appen ikke sporer plassering og at den kan brukes anonymt uten registrering, men at ved første innlogg blir det tatt i bruk en anonym adgangskode for å kunne dele kontrollen av vibratoren med en partner.

Endring mandag 17. januar 2022 kl. 20.34: Det har blitt lagt til et utfyllende tilsvar fra WOW Tech i bunnen av artikkelen.

Hør kjæresteparet fortelle om opplevelsen i «Pålogga»:

Illustrasjon av en hånd som holder en mobil, med P3-logo. Ved siden av står «Pålogga» skrevet i fete bokstaver.

Tekst: Henriette Dæhli

Intervju: Tamanna Agnihotri og Henriette Dæhli

Research: Gjøri Dalsbø og Remi Horgar

Illustrasjoner: Veronica Lüthcke


LES MER:

Siste fra P3.no: