Un hacktivista ha esposto i dati di 500.000 clienti di app di monitoraggio smartphone come Geofinder e uMobix, rivelando lacune di sicurezza nel vendor Struktura.
© RusPhotoBank
Un hacktivista ha ottenuto accesso non autorizzato al database di un fornitore di app di monitoraggio per smartphone, esponendo i dati di centinaia di migliaia di clienti. La fuga coinvolge oltre 500.000 record di pagamento collegati a utenti che hanno pagato per spiare altre persone.
La violazione ha riguardato i clienti di servizi come Geofinder, uMobix, Peekviewer (precedentemente noto come Glassagram) e diverse altre applicazioni di tracciamento e monitoraggio. Secondo i giornalisti, tutte queste app sono fornite dallo stesso vendor—Struktura, un'azienda registrata in Ucraina. Il database conteneva anche record relativi a Xnspy, un servizio già coinvolto in precedenti incidenti di data breach.
TechCrunch ha scoperto che il dataset trapelato comprende circa 536.000 righe di informazioni sui clienti. Tra queste ci sono indirizzi email, il nome del servizio a pagamento, gli importi dei pagamenti, i tipi di carta di credito (Visa o Mastercard) e le ultime quattro cifre dei numeri di carta. Le date delle transazioni non erano presenti nel database.
Anche se i dettagli completi dei pagamenti non sono stati esposti, gli esperti sottolineano che questo dataset rappresenta comunque una minaccia significativa. La natura sensibile dei servizi utilizzati da questi clienti amplifica il rischio.
I giornalisti di TechCrunch hanno verificato l'autenticità del database attraverso diversi metodi. Hanno utilizzato indirizzi email usa e getta trovati nei dati per confermare l'esistenza degli account tramite meccanismi di recupero password. Identificatori unici delle fatture sono stati controllati e corrispondevano alle pagine di pagamento dei servizi, accessibili senza autenticazione. Questo evidenzia gravi lacune di sicurezza nell'infrastruttura del vendor.
L'hacktivista, che usa l'alias wikkid, ha dichiarato di aver ottenuto accesso ai dati a causa di un semplice errore di configurazione sul sito del fornitore. Ha affermato di prendere di mira e violare intenzionalmente servizi utilizzati per spiare le persone, per poi pubblicare il database estratto su un forum di hacker.
App come uMobix e Xnspy, una volta installate su un dispositivo, consentono a terze parti un accesso quasi totale ai contenuti dello smartphone—inclusi messaggi, cronologia chiamate, foto, dati del browser e posizione precisa. Questi servizi sono spesso commercializzati come strumenti per monitorare partner o coniugi, il che viola direttamente le leggi in molti paesi.
Questo incidente è un altro esempio di sviluppatori di stalkerware che perdono il controllo sui dati—sia dei loro clienti che delle loro vittime. Negli ultimi anni, dozzine di servizi simili hanno subito fughe di dati a causa di errori di sicurezza di base. È notevole come le aziende che traggono profitto dalle violazioni della privacy non riescano a proteggere nemmeno le informazioni dei propri utenti.