Un hacktivist a scos la iveală datele a peste 500.000 de clienți ai aplicațiilor de monitorizare smartphone, precum Geofinder și uMobix. Află detalii despre riscurile de securitate.
© RusPhotoBank
Un hacktivist a obținut acces neautorizat la baza de date a unui furnizor de aplicații de monitorizare pentru smartphone-uri, expunând informațiile a sute de mii de clienți. Scurgerea de date implică peste 500.000 de înregistrări de plăți asociate utilizatorilor care au plătit pentru a supraveghea alte persoane.
Incidentul a afectat clienții serviciilor precum Geofinder, uMobix, Peekviewer (cunoscut anterior ca Glassagram) și alte aplicații de urmărire și monitorizare. Potrivit jurnaliștilor, toate aceste aplicații sunt furnizate de același producător – Structura, o companie înregistrată în Ucraina. Baza de date conținea și înregistrări legate de Xnspy, un serviciu implicat anterior în incidente majore de scurgere de date.
TechCrunch a descoperit că setul de date scurs cuprinde aproximativ 536.000 de rânduri cu informații despre clienți. Acestea includ adrese de email, numele serviciului plătit, sumele plătite, tipurile de carduri bancare (Visa sau Mastercard) și ultimele patru cifre ale numerelor de card. Datele tranzacțiilor nu erau prezente în baza de date.
Deși detaliile complete de plată nu au fost expuse, experții subliniază că și acest set de date reprezintă o amenințare semnificativă. Natura sensibilă a serviciilor utilizate de acești clienți amplifică riscul.
Jurnaliștii TechCrunch au verificat autenticitatea bazei de date prin mai multe metode. Au folosit adrese de email publice și de unică folosință găsite în date pentru a confirma existența conturilor prin mecanisme de recuperare a parolei. Identificatorii unici ai facturilor au fost, de asemenea, verificați și potriviți cu paginile de plată pentru servicii, accesibile fără autentificare. Acest lucru evidențiază lacuni grave de securitate în infrastructura furnizorului.
Hacktivistul, care folosește pseudonimul wikkid, a declarat că accesul la date a fost obținut datorită unei erori simple de configurare pe site-ul furnizorului. El a afirmat că a vizat intenționat și a spart servicii utilizate pentru supravegherea persoanelor, după care a publicat baza de date extrasă pe un forum de hackeri.
Aplicații precum uMobix și Xnspy, odată instalate pe un dispozitiv, permit terților acces aproape total la conținutul smartphone-ului – inclusiv mesaje, istoric de apeluri, fotografii, date de navigare și locație precisă. Aceste servicii sunt adesea comercializate ca instrumente pentru monitorizarea partenerilor sau a soților, ceea ce încalcă direct legile din multe țări.
Acest incident este un alt exemplu de dezvoltatori de software de urmărire care pierd controlul asupra datelor – atât ale clienților lor, cât și ale victimelor. În ultimii ani, zeci de servicii similare s-au confruntat cu scurgeri de date din cauza unor erori de securitate de bază. În mod notabil, companiile care profită de încălcări ale confidențialității eșuează în mod constant să securizeze chiar și informațiile propriilor utilizatori.