スマートフォン監視アプリの大規模データ漏洩事件

ハクティビストがスマートフォン監視アプリ提供者のデータベースに不正アクセスし、数十万人の顧客データを流出させた。この漏洩には、他者を監視するために支払いを行ったユーザーに関連する50万件以上の決済記録が含まれている。

被害を受けたのは、Geofinder、uMobix、Peekviewer（旧Glassagram）、その他複数の追跡・監視アプリケーションの利用者だ。ジャーナリストの調査によれば、これら全てのアプリはウクライナに登録された企業「Struktura」が提供しており、過去に大規模データ漏洩事件に関与したXnspyの記録もデータベースに含まれていた。

TechCrunchが発見したところでは、流出データセットには約53万6千件の顧客情報が含まれる。メールアドレス、有料サービス名、支払額、銀行カードの種類（VisaまたはMastercard）、カード番号の下4桁などが記録されており、取引日時はデータベースに存在しなかった。

完全な決済情報は公開されていないものの、専門家はこのデータセット自体が重大な脅威となり得ると指摘する。利用サービスの機密性が高いため、リスクはさらに増幅される。

TechCrunchのジャーナリストは複数の方法でデータベースの真正性を確認した。データ内の公開使い捨てメールアドレスを使用してパスワード回復機能経由でアカウントの存在を確認し、固有の請求書識別子を照合して認証不要でアクセス可能な決済ページと一致させた。この検証は、ベンダーのインフラに深刻なセキュリティギャップが存在することを浮き彫りにしている。

「wikkid」という別名を使用するハクティビストは、ベンダーWebサイトの単純な設定ミスによってデータへのアクセスを獲得したと説明。人々を監視するために使用されるサービスを意図的に標的にしてハッキングし、抽出したデータベースをハッカー掲示板に公開したと主張している。

uMobixやXnspyのようなアプリは、一度端末にインストールされると、メッセージ、通話履歴、写真、ブラウザデータ、正確な位置情報など、スマートフォンの内容へのほぼ完全なアクセスを第三者に許可する。これらのサービスは多くの場合、パートナーや配偶者の監視ツールとして販売されており、これは多くの国の法律に直接違反する行為だ。

今回の事件は、ストーカーウェア開発者がデータ管理を失う事例の一つに過ぎない。近年では、数十の類似サービスが基本的なセキュリティミスにより漏洩に直面している。特に注目すべきは、プライバシー侵害から利益を得ている企業が、自社ユーザーの情報さえ適切に保護できないという一貫した傾向だ。