Een hacktivist heeft toegang gekregen tot de database van stalkerware-apps, waardoor gegevens van honderdduizenden klanten zijn blootgelegd. Lees over de beveiligingslekken en risico's.
© RusPhotoBank
Een hacktivist heeft onbevoegde toegang gekregen tot de database van een aanbieder van smartphone-monitoringapps, waardoor de gegevens van honderdduizenden klanten zijn blootgelegd. De lek omvat meer dan 500.000 betalingsgegevens die zijn gekoppeld aan gebruikers die betaalden om andere personen te bespieden.
De inbreuk trof klanten van diensten zoals Geofinder, uMobix, Peekviewer (voorheen bekend als Glassagram) en diverse andere tracking- en monitoringapplicaties. Volgens journalisten worden al deze apps geleverd door dezelfde leverancier—Struktura, een in Oekraïne geregistreerd bedrijf. De database bevatte ook gegevens over Xnspy, een dienst die eerder betrokken was bij grote datalekincidenten.
TechCrunch ontdekte dat de gelekte dataset ongeveer 536.000 rijen met klantinformatie omvat. Dit omvat e-mailadressen, de naam van de betaalde dienst, betalingsbedragen, bankkaarttypen (Visa of Mastercard) en de laatste vier cijfers van kaartnummers. Transactiedata ontbraken in de database.
Hoewel volledige betalingsgegevens niet zijn blootgesteld, merken experts op dat zelfs deze dataset een aanzienlijk risico vormt. De gevoelige aard van de diensten die deze klanten gebruiken, versterkt het gevaar.
TechCrunch-journalisten verifieerden de authenticiteit van de database via meerdere methoden. Ze gebruikten openbare wegwerpe-mailadressen uit de data om accountbestaan te bevestigen via wachtwoordherstelmechanismen. Unieke factuuridentificatoren werden ook gecontroleerd en kwamen overeen met betalingspagina's voor de diensten, toegankelijk zonder authenticatie. Dit benadrukt ernstige beveiligingslekken in de infrastructuur van de leverancier.
De hacktivist, die het alias wikkid gebruikt, verklaarde dat toegang tot de data werd verkregen door een eenvoudige configuratiefout op de website van de leverancier. Hij beweerde opzettelijk diensten te targeten en te hacken die worden gebruikt voor het bespieden van mensen, en publiceerde vervolgens de geëxtraheerde database op een hackersforum.
Apps zoals uMobix en Xnspy, eenmaal geïnstalleerd op een apparaat, geven derden bijna volledige toegang tot smartphone-inhoud—inclusief berichten, belgeschiedenis, foto's, browserdata en precieze locatie. Deze diensten worden vaak op de markt gebracht als tools voor het monitoren van partners of echtgenoten, wat in veel landen direct de wet overtreedt.
Dit incident is een ander voorbeeld van stalkerware-ontwikkelaars die de controle over data verliezen—zowel die van hun klanten als die van hun slachtoffers. In recente jaren hebben tientallen vergelijkbare diensten te maken gehad met lekken door basale beveiligingsfouten. Opvallend is dat bedrijven die profiteren van privacyschendingen consequent falen om zelfs hun eigen gebruikersinformatie te beveiligen.