Хактивіст отримав доступ до понад півмільйона платіжних записів постачальника споживчих шпигунських додатків для телефонів, розкривши email-адреси та часткову платіжну інформацію клієнтів, які платили за стеження за іншими людьми. Транзакції містять записи про платежі за сервіси відстеження телефонів, такі як Geofinder і uMobix, а також сервіси на кшталт Peekviewer (раніше Glassagram), який нібито дозволяє доступ до приватних Instagram-акаунтів.
Дані клієнтів також включають записи транзакцій від Xnspy — відомого додатка для стеження за телефонами, який у 2022 році викрив приватні дані десятків тисяч нічого не підозрюючих власників Android-пристроїв та iPhone. Це черговий приклад того, як постачальник сталкерського ПЗ розкриває інформацію своїх клієнтів через недоліки безпеки.
Що саме витекло
Дані, які переглянув TechCrunch, включали близько 536,000 рядків з email-адресами клієнтів, інформацією про те, за який додаток чи бренд клієнт платив, скільки заплатив, тип платіжної картки (Visa або Mastercard) та останні чотири цифри картки. Записи клієнтів не містили дат платежів.
TechCrunch перевірив автентичність даних, взявши кілька записів транзакцій з одноразовими email-адресами з публічними поштовими скриньками, такими як Mailinator, і пропустивши їх через портали відновлення паролів різних шпигунських додатків. Скидаючи паролі на акаунтах, пов’язаних з публічними email-адресами, журналісти визначили, що це реальні облікові записи.
Як сталася витік
Хактивіст під псевдонімом “wikkid” повідомив TechCrunch, що зібрав дані з сайту постачальника stalkerware завдяки “тривіальній” помилці на його веб-сайті. Хактивіст заявив, що йому “подобається атакувати додатки, які використовуються для стеження за людьми”, і згодом опублікував зібрані дані на відомому хакерському форумі.
Stalkerware-додатки, такі як uMobix і Xnspy, після встановлення на чийсь телефон завантажують приватні дані жертви, включаючи журнали дзвінків, текстові повідомлення, фотографії, історію браузера та точні дані про місцезнаходження, які потім передаються особі, яка встановила додаток. Додатки як uMobix і Xnspy відкрито рекламували свої сервіси для стеження за подружжям та партнерами, що є незаконним.
Про компанії-постачальники
На хакерському форумі постачальник шпигунського ПЗ зазначений як Ersten Group, яка представляє себе як британський стартап з розробки програмного забезпечення. TechCrunch знайшов кілька email-адрес у наборі даних, які використовувалися для тестування та підтримки клієнтів і посилаються на Struktura — українську компанію з ідентичним веб-сайтом до Ersten Group.
Найраніший запис у наборі даних містив email-адресу генерального директора Struktura, Вікторії Зосім, для транзакції на $1. Представники Ersten Group і Struktura не відповіли на запити TechCrunch про коментар.
За останні кілька років десятки stalkerware-додатків були зламані або втратили, розкрили чи викрили приватні дані людей — часто самих жертв — через недбалу кібербезпеку операторів шпигунського ПЗ.
