Ein Hacktivist hat eine Datenbank mit über 500.000 Zahlungsdatensätzen von Smartphone-Tracking-Apps geleakt. Betroffen sind Dienste wie Geofinder und uMobix, die zur Überwachung genutzt werden.
© RusPhotoBank
Ein Hacktivist hat sich unbefugten Zugang zur Datenbank eines Anbieters von Smartphone-Überwachungs-Apps verschafft und dabei die Daten Hunderttausender Kunden offengelegt. Der Leak umfasst über 500.000 Zahlungsdatensätze, die mit Nutzern verknüpft sind, die bezahlt haben, um andere Personen auszuspähen.
Betroffen sind Kunden von Diensten wie Geofinder, uMobix, Peekviewer (früher als Glassagram bekannt) und mehreren weiteren Tracking- und Monitoring-Anwendungen. Laut Journalisten werden all diese Apps vom selben Anbieter bereitgestellt – Struktura, einem in der Ukraine registrierten Unternehmen. Die Datenbank enthielt auch Datensätze zu Xnspy, einem Dienst, der bereits in der Vergangenheit in größere Datenpannen verwickelt war.
TechCrunch fand heraus, dass das geleakte Dataset etwa 536.000 Zeilen mit Kundeninformationen enthält. Dazu gehören E-Mail-Adressen, der Name des bezahlten Dienstes, Zahlungsbeträge, Bankkartentypen (Visa oder Mastercard) und die letzten vier Ziffern der Kartennummern. Transaktionsdaten waren in der Datenbank nicht vorhanden.
Obwohl keine vollständigen Zahlungsdetails offengelegt wurden, weisen Experten darauf hin, dass selbst dieses Dataset eine erhebliche Gefahr darstellt. Die sensible Natur der von diesen Kunden genutzten Dienste verstärkt das Risiko noch.
Die Journalisten von TechCrunch überprüften die Authentizität der Datenbank mit mehreren Methoden. Sie nutzten öffentlich verfügbare Wegwerf-E-Mail-Adressen aus den Daten, um die Existenz von Konten über Passwort-Wiederherstellungsmechanismen zu bestätigen. Einzigartige Rechnungsidentifikatoren wurden ebenfalls geprüft und stimmten mit Zahlungsseiten der Dienste überein, die ohne Authentifizierung zugänglich sind. Dies zeigt ernsthafte Sicherheitslücken in der Infrastruktur des Anbieters auf.
Der Hacktivist, der unter dem Alias wikkid auftritt, erklärte, der Zugriff auf die Daten sei durch einen einfachen Konfigurationsfehler auf der Website des Anbieters ermöglicht worden. Er gab an, gezielt Dienste angegriffen und gehackt zu haben, die zur Überwachung von Menschen genutzt werden, und veröffentlichte anschließend die extrahierte Datenbank in einem Hackerforum.
Apps wie uMobix und Xnspy ermöglichen Dritten, sobald sie auf einem Gerät installiert sind, nahezu vollständigen Zugriff auf Smartphone-Inhalte – einschließlich Nachrichten, Anrufhistorie, Fotos, Browserdaten und genauer Standorte. Diese Dienste werden oft als Werkzeuge zur Überwachung von Partnern oder Ehegatten vermarktet, was in vielen Ländern direkt gegen geltende Gesetze verstößt.
Dieser Vorfall ist ein weiteres Beispiel dafür, wie Entwickler von Stalkerware die Kontrolle über Daten verlieren – sowohl die ihrer Kunden als auch die ihrer Opfer. In den letzten Jahren sind Dutzende ähnlicher Dienste aufgrund grundlegender Sicherheitsfehler von Leaks betroffen gewesen. Bemerkenswert ist, dass Unternehmen, die von Datenschutzverletzungen profitieren, konsequent versagen, selbst die Informationen ihrer eigenen Nutzer zu schützen.