Wyciek danych z aplikacji monitorujących smartfony

Haktywista uzyskał nieautoryzowany dostęp do bazy danych dostawcy aplikacji monitorujących smartfony, ujawniając dane setek tysięcy klientów. Wyciek obejmuje ponad 500 tysięcy rekordów płatniczych powiązanych z użytkownikami, którzy płacili za śledzenie innych osób.

Naruszenie dotknęło klientów usług takich jak Geofinder, uMobix, Peekviewer (dawniej znany jako Glassagram) oraz kilku innych aplikacji śledzących i monitorujących. Według dziennikarzy wszystkie te aplikacje są dostarczane przez tego samego dostawcę – firmę Struktura zarejestrowaną na Ukrainie. W bazie danych znajdowały się również rekordy związane z Xnspy, usługą wcześniej uwikłaną w poważne incydenty wycieku danych.

TechCrunch odkrył, że wyciekły dane obejmują około 536 tysięcy wierszy informacji o klientach. Znajdują się tam adresy e-mail, nazwy płatnych usług, kwoty płatności, typy kart bankowych (Visa lub Mastercard) oraz ostatnie cztery cyfry numerów kart. Daty transakcji nie były obecne w bazie.

Choć pełne dane płatnicze nie zostały ujawnione, eksperci zauważają, że nawet ten zbiór stanowi poważne zagrożenie. Wrażliwy charakter usług używanych przez tych klientów dodatkowo zwiększa ryzyko.

Dziennikarze TechCrunch potwierdzili autentyczność bazy danych wieloma metodami. Wykorzystali publiczne jednorazowe adresy e-mail znalezione w danych, by potwierdzić istnienie kont za pomocą mechanizmów odzyskiwania hasła. Unikalne identyfikatory faktur również zostały sprawdzone i dopasowane do stron płatności usług, dostępnych bez uwierzytelnienia. To uwypukla poważne luki bezpieczeństwa w infrastrukturze dostawcy.

Haktywista używający pseudonimu wikkid stwierdził, że dostęp do danych uzyskano z powodu prostego błędu konfiguracyjnego na stronie internetowej dostawcy. Twierdził, że celowo atakuje i włamuje się do usług używanych do śledzenia ludzi, po czym opublikował wyciągniętą bazę danych na forum hakerskim.

Aplikacje takie jak uMobix i Xnspy, po zainstalowaniu na urządzeniu, umożliwiają stronom trzecim niemal całkowity dostęp do zawartości smartfona – w tym wiadomości, historii połączeń, zdjęć, danych przeglądarki i dokładnej lokalizacji. Usługi te są często reklamowane jako narzędzia do monitorowania partnerów lub małżonków, co bezpośrednio narusza prawo w wielu krajach.

Ten incydent to kolejny przykład, gdy twórcy stalkerware tracą kontrolę nad danymi – zarówno swoich klientów, jak i ofiar. W ostatnich latach dziesiątki podobnych usług doświadczyły wycieków z powodu podstawowych błędów bezpieczeństwa. Co istotne, firmy czerpiące zyski z naruszeń prywatności konsekwentnie nie potrafią zabezpieczyć nawet informacji własnych użytkowników.