Hacktivista filtra datos de apps de monitoreo de smartphones

Un hacktivista accedió sin autorización a la base de datos de un proveedor de aplicaciones de monitoreo de smartphones, exponiendo la información de cientos de miles de clientes. La filtración incluye más de 500.000 registros de pago vinculados a usuarios que pagaron para vigilar a otras personas.

La brecha afectó a clientes de servicios como Geofinder, uMobix, Peekviewer (antes conocido como Glassagram) y varias otras aplicaciones de rastreo y monitoreo. Según periodistas, todas estas apps son proporcionadas por el mismo proveedor: Struktura, una empresa registrada en Ucrania. La base de datos también contenía registros relacionados con Xnspy, un servicio previamente implicado en importantes incidentes de filtración de datos.

TechCrunch descubrió que el conjunto de datos filtrado comprende alrededor de 536.000 filas de información de clientes. Esto incluye direcciones de correo electrónico, el nombre del servicio pagado, montos de pago, tipos de tarjetas bancarias (Visa o Mastercard) y los últimos cuatro dígitos de los números de tarjeta. Las fechas de transacción no estaban presentes en la base de datos.

Aunque no se expusieron los detalles completos de pago, los expertos señalan que incluso este conjunto de datos representa una amenaza significativa. La naturaleza sensible de los servicios utilizados por estos clientes amplifica el riesgo.

Los periodistas de TechCrunch verificaron la autenticidad de la base de datos mediante múltiples métodos. Utilizaron direcciones de correo electrónico desechables públicas encontradas en los datos para confirmar la existencia de cuentas a través de mecanismos de recuperación de contraseñas. También verificaron identificadores únicos de factura que coincidían con páginas de pago de los servicios, accesibles sin autenticación. Esto destaca graves brechas de seguridad en la infraestructura del proveedor.

El hacktivista, usando el alias wikkid, declaró que el acceso a los datos se obtuvo debido a un simple error de configuración en el sitio web del proveedor. Afirmó que intencionalmente apuntó y hackeó servicios utilizados para vigilar personas, luego publicó la base de datos extraída en un foro de hackers.

Aplicaciones como uMobix y Xnspy, una vez instaladas en un dispositivo, permiten a terceros acceso casi total al contenido del smartphone, incluyendo mensajes, historial de llamadas, fotos, datos del navegador y ubicación precisa. Estos servicios a menudo se comercializan como herramientas para monitorear parejas o cónyuges, lo que viola directamente las leyes en muchos países.

Este incidente es otro ejemplo de desarrolladores de stalkerware perdiendo el control sobre los datos, tanto de sus clientes como de sus víctimas. En los últimos años, docenas de servicios similares han enfrentado filtraciones debido a errores de seguridad básicos. Notablemente, las empresas que lucran con violaciones de privacidad consistentemente fallan en proteger incluso la información de sus propios usuarios.