В сеть попали более 500 тысяч платёжных записей клиентов приложений для скрытой слежки за смартфонами.
Сервисы для тайной слежки сами стали жертвами утечки
Фото: © RusPhotoBank
Хактивист получил несанкционированный доступ к базе данных одного из поставщиков приложений для скрытого мониторинга смартфонов, в результате чего в открытый доступ попали данные сотен тысяч клиентов таких сервисов. Речь идёт о более чем 500 тысячах платёжных записей, связанных с пользователями, которые оплачивали слежку за другими людьми.
Утечка затронула клиентов сервисов Geofinder, uMobix, Peekviewer (ранее известного как Glassagram), а также ряда других приложений для трекинга и мониторинга. Все они, по данным журналистов, предоставляются одним и тем же вендором — компанией Struktura, зарегистрированной в Украине. В базе также обнаружены записи, связанные с сервисом Xnspy, который ранее уже фигурировал в крупных инцидентах с утечками данных.
Как выяснило издание TechCrunch, слитый массив содержит около 536 тысяч строк с информацией о клиентах. В их числе — адреса электронной почты, название оплаченного сервиса, сумма платежа, тип банковской карты (Visa или Mastercard), а также последние четыре цифры номера карты. Даты транзакций в базе отсутствовали.
Хотя полные платёжные реквизиты в утечку не попали, специалисты отмечают, что даже такой набор данных может представлять серьёзную угрозу. Особую чувствительность информации усиливает характер самих сервисов, которыми пользовались клиенты.
Журналисты TechCrunch проверили подлинность базы несколькими способами. В частности, они использовали публичные одноразовые почтовые ящики, фигурировавшие в данных, и через механизмы восстановления пароля подтвердили существование соответствующих аккаунтов. Также были проверены уникальные идентификаторы счетов, которые совпали с данными на страницах оплаты сервисов — при этом доступ к ним не требовал аутентификации. Это указывает на серьёзные пробелы в защите инфраструктуры поставщика.
Хактивист под псевдонимом wikkid заявил, что доступ к данным был получен из-за простой ошибки в настройках сайта вендора. По его словам, он целенаправленно занимается выявлением и взломом сервисов, используемых для слежки за людьми, после чего опубликовал выгруженную базу на одном из хакерских форумов.
Приложения вроде uMobix и Xnspy после установки на устройство позволяют третьим лицам получать практически полный доступ к содержимому смартфона — включая сообщения, историю звонков, фотографии, данные браузера и точное местоположение. При этом такие сервисы нередко рекламируются как инструменты для слежки за партнёрами или супругами, что во многих странах прямо нарушает законодательство.
Инцидент стал очередным примером того, как разработчики stalkerware теряют контроль над данными — как своих клиентов, так и жертв слежки. За последние годы десятки подобных сервисов сталкивались с утечками из-за элементарных ошибок в защите. Показательно, что компании, зарабатывающие на нарушении приватности, регулярно оказываются не в состоянии обеспечить безопасность даже собственных пользователей.