Hacktivista jogosulatlanul hozzáfért egy okostelefon-figyelő alkalmazások szolgáltatójának adatbázisához, több százezer ügyfél adatát tárva a nyilvánosság elé. A szivárgás 500 000 fizetési nyilvántartást érint.
© RusPhotoBank
Egy hacktivista jogosulatlanul hozzáfért egy okostelefon-figyelő alkalmazásokat szolgáltató cég adatbázisához, ezzel több százezer ügyfél adatát tárta a nyilvánosság elé. A szivárgás több mint 500 000 fizetési nyilvántartást érint, amelyek olyan felhasználókhoz kapcsolódnak, akik fizettek azért, hogy más egyéneket figyelhessenek.
A incidens olyan szolgáltatások ügyfeleit érintette, mint a Geofinder, az uMobix, a Peekviewer (korábban Glassagram néven ismert), valamint számos egyéb követő és monitorozó alkalmazás. Újságírók szerint mindezen alkalmazások ugyanannak a szállítónak, a Strukturának köszönhetőek, amely egy Ukrajnában bejegyzett cég. Az adatbázis tartalmazott rekordokat az Xnspy szolgáltatással kapcsolatban is, amelyet korábban már súlyos adatszivárgási eseményekben érintettek.
A TechCrunch felfedezte, hogy a kiszivárgott adathalmaz mintegy 536 000 sor ügyfélinformációt tartalmaz. Ide tartoznak e-mail címek, a fizetett szolgáltatás neve, a fizetési összegek, a bankkártya típusa (Visa vagy Mastercard), valamint a kártyaszámok utolsó négy számjegye. A tranzakciók dátuma nem szerepelt az adatbázisban.
Bár a teljes fizetési részletek nem kerültek nyilvánosságra, a szakértők szerint még ez az adathalmaz is jelentős kockázatot jelent. Az ügyfelek által használt szolgáltatások érzékeny jellege tovább fokozza a veszélyt.
A TechCrunch újságírói több módszerrel is ellenőrizték az adatbázis hitelességét. A nyilvánosan elérhető eldobható e-mail címeket felhasználták, hogy jelszó-visszaállítási mechanizmusokon keresztül megerősítsék a fiókok létezését. Az egyedi számlaazonosítókat is ellenőrizték, amelyek megegyeztek a szolgáltatások hitelesítés nélkül elérhető fizetési oldalain találhatókkal. Ez komoly biztonsági hiányosságokat vet fel a szállító infrastruktúrájában.
A wikkid álnévvel bemutatkozó hacktivista elmondta, hogy az adatokhoz való hozzáférést a szállító weboldalán található egyszerű konfigurációs hiba tette lehetővé. Azt állította, szándékosan az emberek figyelésére használt szolgáltatásokat célozta meg és hackelte, majd a kivont adatbázist egy hacker fórumon tette közzé.
Az olyan alkalmazások, mint az uMobix és az Xnspy, ha egyszer telepítve vannak egy eszközre, lehetővé teszik a harmadik fél számára, hogy szinte teljes hozzáférést kapjon az okostelefon tartalmához – beleértve az üzeneteket, a híváslistát, a fotókat, a böngészőadatok és a pontos helymeghatározást. Ezeket a szolgáltatásokat gyakran partner vagy házastárs figyelésére szolgáló eszközként hirdetik, ami számos országban közvetlenül törvényt sért.
Ez az incidens egy újabb példa arra, hogy a stalkerware fejlesztők elveszítik az irányítást az adatok felett – mind az ügyfeleik, mind az áldozataik adatai felett. Az elmúlt években több tucat hasonló szolgáltatás került sor alapszintű biztonsági hibák miatti szivárgásokra. Figyelemreméltó, hogy a magánélet megsértéséből profitáló cégek következetesen elmulasztják saját felhasználóik információinak biztonságát is.