Hacktiviste expose les données de clients d'applications de surveillance de smartphones

Un hacktiviste a obtenu un accès non autorisé à la base de données d'un fournisseur d'applications de surveillance de smartphones, exposant les informations de centaines de milliers de clients. La fuite concerne plus de 500 000 enregistrements de paiements liés à des utilisateurs ayant payé pour espionner d'autres personnes.

La violation a touché les clients de services comme Geofinder, uMobix, Peekviewer (anciennement Glassagram) et plusieurs autres applications de suivi et de surveillance. Selon des journalistes, toutes ces applications sont fournies par le même vendeur, Struktura, une société enregistrée en Ukraine. La base de données contenait également des données liées à Xnspy, un service précédemment impliqué dans des incidents majeurs de fuite de données.

TechCrunch a découvert que le jeu de données divulgué comprend environ 536 000 lignes d'informations clients. Cela inclut des adresses e-mail, le nom du service payant, les montants des paiements, les types de cartes bancaires (Visa ou Mastercard) et les quatre derniers chiffres des numéros de cartes. Les dates des transactions n'étaient pas présentes dans la base de données.

Bien que les détails complets des paiements n'aient pas été exposés, les experts notent que même ce jeu de données représente une menace significative. La nature sensible des services utilisés par ces clients amplifie le risque.

Les journalistes de TechCrunch ont vérifié l'authenticité de la base de données par plusieurs méthodes. Ils ont utilisé des adresses e-mail jetables publiques trouvées dans les données pour confirmer l'existence des comptes via des mécanismes de récupération de mot de passe. Des identifiants uniques de factures ont également été vérifiés et correspondaient aux pages de paiement des services, accessibles sans authentification. Cela met en lumière des lacunes de sécurité graves dans l'infrastructure du fournisseur.

Le hacktiviste, utilisant l'alias wikkid, a déclaré que l'accès aux données a été obtenu en raison d'une simple erreur de configuration sur le site web du vendeur. Il a affirmé cibler et pirater intentionnellement des services utilisés pour surveiller des personnes, puis a publié la base de données extraite sur un forum de hackers.

Des applications comme uMobix et Xnspy, une fois installées sur un appareil, permettent à des tiers un accès quasi total au contenu du smartphone, y compris les messages, l'historique des appels, les photos, les données de navigation et la localisation précise. Ces services sont souvent commercialisés comme des outils pour surveiller des partenaires ou des conjoints, ce qui viole directement les lois dans de nombreux pays.

Cet incident est un autre exemple de développeurs de stalkerware perdant le contrôle des données, à la fois celles de leurs clients et de leurs victimes. Ces dernières années, des dizaines de services similaires ont fait face à des fuites dues à des erreurs de sécurité basiques. Notamment, les entreprises profitant des violations de la vie privée échouent systématiquement à sécuriser même les informations de leurs propres utilisateurs.