Duomenų pažeidimas atskleidžia milijonus „mSpy“ šnipinėjimo programų klientų

Duomenų pažeidimas vykdant telefono stebėjimo operaciją „mSpy“ atskleidė milijonus jos klientų, kurie per pastarąjį dešimtmetį įsigijo prieigą prie telefono šnipinėjimo programų, taip pat Ukrainos bendrovę.

2024 m. gegužės mėn. nežinomi užpuolikai iš „mSpy“ pavogė milijonus klientų aptarnavimo bilietų, įskaitant asmeninę informaciją, el. laiškus palaikymui ir priedus, įskaitant asmeninius dokumentus. šnipinėjimo programų tiekėjų įsilaužimai tampa vis dažnesnijie išlieka pastebimi dėl labai jautrios asmeninės informacijos, dažnai įtraukiamos į duomenis, šiuo atveju apie klientus, kurie naudojasi paslauga.

Įsilaužimas apėmė klientų aptarnavimo įrašus, siekiančius 2014 m., kurie buvo pavogti iš šnipinėjimo programų gamintojos „Zendesk“ palaikomos klientų aptarnavimo sistemos.

mSpy yra telefono stebėjimo programa, kuri reklamuojasi kaip būdas sekti vaikus ar stebėti darbuotojus. Kaip ir dauguma šnipinėjimo programų, ji taip pat plačiai naudojama stebėti žmones be jų sutikimo. Tokios programos taip pat žinomos kaip „stalkerware“, nes romantiškus santykius turintys žmonės dažnai naudoja jas savo partneriui stebėti be sutikimo ar leidimo.

„mSpy“ programa leidžia tiems, kurie įdiegė šnipinėjimo programą, paprastai tam, kuris anksčiau turėjo fizinę prieigą prie aukos telefono, nuotoliniu būdu peržiūrėti telefono turinį realiuoju laiku.

Remiantis „TechCrunch“ duomenų apžvalga, kurią mes nepriklausomai gavome, „mSpy“ klientų įrašuose yra el. laiškų iš žmonių, kurie ieško pagalbos, kad galėtų slapta sekti savo partnerių, giminaičių ar vaikų telefonus. Kai kuriuose iš tų el. laiškų ir pranešimų yra klientų aptarnavimo užklausos iš kelių aukšto rango JAV kariškių, dirbančio JAV federalinio apeliacinio teismo teisėjo, JAV vyriausybės departamento sargybinio ir Arkanzaso apygardos šerifo biuro, ieškančio nemokamos licencijos išbandyti programą.

Net ir sukaupus kelis milijonus klientų aptarnavimo bilietų, manoma, kad nutekėję „Zendesk“ duomenys atspindi tik dalį visos „mSpy“ klientų bazės, kuri kreipėsi dėl klientų aptarnavimo. Tikėtina, kad „mSpy“ klientų skaičius bus daug didesnis.

Tačiau praėjus daugiau nei mėnesiui po pažeidimo, mSpy savininkai, Ukrainoje įsikūrusi įmonė Brainstack, pažeidimo nepripažino ir viešai neatskleidė.

Troy Hunt, kuris bėga pranešimų apie duomenų pažeidimus svetainė Have I Been Pwnedgavo viso nutekėjusio duomenų rinkinio kopiją, įtraukdamas apie 2,4 milijono unikalių mSpy klientų el. pašto adresų į savo svetainės ankstesnių duomenų pažeidimų katalogą.

Huntas „TechCrunch“ sakė, kad susisiekė su keliais „Have I Been Pwned“ abonentais, pateikdamas informaciją iš pažeistų duomenų, kurie jam patvirtino, kad nutekinti duomenys buvo tikslūs.

„mSpy“ yra naujausia telefonų šnipinėjimo programų operacija per pastaruosius mėnesius, į kurią buvo įsilaužta neseniai sudarytas TechCrunch sąrašas. „mSpy“ pažeidimas dar kartą parodo, kad šnipinėjimo programų kūrėjais negalima pasitikėti, kad jie saugos savo klientų ar aukų duomenis.

Milijonai mSpy klientų pranešimų

„TechCrunch“ išanalizavo nutekintą duomenų rinkinį – daugiau nei 100 gigabaitų „Zendesk“ įrašų – kuriame buvo milijonai individualių klientų aptarnavimo bilietų ir atitinkamų el. pašto adresų, taip pat šių el. laiškų turinys.

Kai kurie el. pašto adresai priklauso netyčia nukentėjusioms aukoms, į kurias nusitaikė mSpy klientas. Duomenys taip pat rodo, kad kai kurie žurnalistai susisiekė su bendrove dėl komentarų po paskutinio žinomo bendrovės pažeidimo 2018 m. Ir keletą kartų JAV teisėsaugos atstovai mSpy padavė arba siekė pateikti šaukimus ir teisinius reikalavimus. Vienu atveju po trumpo apsikeitimo el. paštu mSpy atstovas FTB agentui pateikė sąskaitos ir adreso informaciją apie mSpy klientą – įtariamą nusikaltėliu pagrobimo ir žmogžudystės byloje.

Kiekviename duomenų rinkinio biliete buvo informacijos apie žmones, kurie susisiekė su mSpy, masyvas. Daugeliu atvejų duomenys taip pat apimdavo jų apytikslę vietą pagal siuntėjo įrenginio IP adresą.

„TechCrunch“ išanalizavo, kur buvo „mSpy“ susisiekę klientai, iš duomenų rinkinio ištraukdama visas vietos koordinates ir atvaizduodama duomenis neprisijungus naudojamoje žemėlapių sudarymo priemonėje. Rezultatai rodo, kad „mSpy“ klientai yra visame pasaulyje, o didelės grupės Europoje, Indijoje, Japonijoje, Pietų Amerikoje, Jungtinėje Karalystėje ir JAV.

Pats šnipinėjimo programų pirkimas nėra neteisėtas, tačiau šnipinėjimo programų pardavimas ar naudojimas šnipinėjimui be jo sutikimo yra neteisėtas. JAV prokurorai turi apmokestinti šnipinėjimo programų kūrėjai praeityje ir federalinės valdžios institucijos ir valstijos sargybiniai uždraudė šnipinėjimo programų įmonėms dalyvauti stebėjimo pramonėje, remdamasi kibernetinio saugumo ir privatumo rizika, kurią sukelia šnipinėjimo programa. Klientai, kurie įdiegia šnipinėjimo programas taip pat gali būti patrauktas baudžiamojon atsakomybėn už pasiklausymo įstatymų pažeidimą.

El. laiškai nutekintuose „Zendesk“ duomenyse rodo, kad „mSpy“ ir jos operatoriai puikiai žino, kam klientai naudoja šnipinėjimo programas, įskaitant telefonų stebėjimą be asmens žinios. Kai kuriuose prašymuose nurodomi klientai, kurie klausia, kaip pašalinti mSpy iš savo partnerio telefono, kai tai sužinojo jų sutuoktinis. Duomenų rinkinys taip pat kelia klausimų apie mSpy naudojimą JAV vyriausybės pareigūnams ir agentūroms, policijos departamentams ir teismams, nes neaišku, ar šnipinėjimo programa buvo naudojama pagal teisinį procesą.

Remiantis duomenimis, vienas iš el. pašto adresų yra Kevinas Newsomas, JAV vienuoliktosios apygardos apeliacinio teismo Alabamos valstijoje, Džordžijos valstijoje ir Floridoje apeliacinis teisėjas, kuris naudojo savo oficialų vyriausybės el. laišką, kad paprašytų „mSpy“ grąžinti pinigus.

Kate Adams, JAV vienuoliktosios apygardos apeliacinio teismo santykių darbo vietoje direktorė, „TechCrunch“ sakė: „Teisėjas Newsom naudojosi tik jo asmeniniais sugebėjimais sprendžiant šeimos reikalus. Adamsas atsisakė atsakyti į konkrečius klausimus apie teisėjo naudojimąsi mSpy, ar Newsomo sekimo subjektas sutiko.

Duomenų rinkinys taip pat rodo JAV valdžios institucijų ir teisėsaugos susidomėjimą. Socialinės apsaugos administracijos generalinio inspektoriaus biuro, federalinės agentūros priežiūros institucijos, darbuotojo el. laiškas paklausė mSpy atstovo, ar sargas gali „panaudoti [mSpy] su kai kuriais mūsų kriminaliniais tyrimais“, nenurodant kaip.

Kai susisiekė „TechCrunch“, Socialinės apsaugos administracijos generalinio inspektoriaus atstovas spaudai nekomentavo, kodėl darbuotojas agentūros vardu teiravosi apie „mSpy“.

Arkanzaso apygardos šerifo skyrius siekė nemokamų „mSpy“ bandymų, tariamai siekdamas pateikti programinės įrangos demonstracines versijas kaimynystės tėvams. Tas seržantas neatsakė į „TechCrunch“ klausimą, ar jie buvo įgalioti susisiekti su „mSpy“.

Įmonė už mSpy

Tai yra trečiasis žinomas mSpy duomenų pažeidimas nuo įmonės veiklos pradžios maždaug 2010 m. mSpy yra viena iš ilgiausiai veikiančių telefonų šnipinėjimo programų, iš dalies dėl to ji sukaupė tiek daug klientų.

Nepaisant savo dydžio ir pasiekiamumo, mSpy operatoriai liko paslėpti nuo visuomenės ir iki šiol dažniausiai vengė tikrinimo. Neretai šnipinėjimo programų gamintojai nuslepia realią savo darbuotojų tapatybę, kad apsaugotų įmonę nuo teisinės ir reputacijos rizikos, susijusios su visuotine telefono stebėjimo operacija, kuri daugelyje šalių yra neteisėta.

Tačiau „mSpy“ „Zendesk“ duomenų pažeidimas parodė, kad jos pagrindinė įmonė yra Ukrainos technologijų įmonė „Brainstack“.

„Brainstack“ svetainėje „mSpy“ neminimas. Panašiai kaip ir vieši atviri darbo skelbimai, „Brainstack“ nurodo tik savo darbą neapibrėžtoje „tėvų kontrolės“ programoje. Tačiau vidinis „Zendesk“ duomenų rinkinys rodo, kad „Brainstack“ plačiai ir glaudžiai dalyvauja „mSpy“ operacijose.

Nutekintuose „Zendesk“ duomenyse „TechCrunch“ rado įrašų, kuriuose yra informacijos apie dešimtis darbuotojų, turinčių „Brainstack“ el. pašto adresus. Daugelis šių darbuotojų buvo susiję su „mSpy“ klientų aptarnavimu, pavyzdžiui, atsakinėjo į klientų klausimus ir prašymus grąžinti pinigus.

Nutekintuose „Zendesk“ duomenyse yra tikrieji „Brainstack“ darbuotojų vardai ir kai kuriais atvejais telefonų numeriai, taip pat klaidingi vardai, kuriuos jie naudojo atsakydami į „mSpy“ klientų bilietus, norėdami nuslėpti savo tapatybę.

Susisiekus su „TechCrunch“, du „Brainstack“ darbuotojai patvirtino savo vardus, nes jie buvo rasti nutekintuose įrašuose, tačiau atsisakė aptarti savo darbą su „Brainstack“.

„Brainstack“ generalinis direktorius Volodymyras Sitnikovas ir vyresnioji vadovė Kateryna Yurchuk prieš paskelbimą neatsakė į kelis el. laiškus, kuriuose buvo prašoma pakomentuoti. Vietoj to, „Brainstack“ atstovas, kuris nepateikė savo vardo, neginčijo mūsų pranešimų, bet atsisakė pateikti atsakymus į bendrovės vadovų klausimų sąrašą.

Neaišku, kaip mSpy Zendesk egzempliorius buvo pažeistas arba kas jį padarė. Pirmą kartą apie pažeidimą atskleidė Šveicarijos įsilaužėlis maia arson crimew, o vėliau duomenys buvo pateikti DDoSecrets, ne pelno skaidrumo kolektyvui, kuris indeksuoja nutekintus duomenų rinkinius visuomenės labui.

Kai buvo pasiektas komentaras, Zendesk atstovas Courtney Blake'as TechCrunch sakė: „Šiuo metu neturime įrodymų, kad Zendesk patyrė savo platformos kompromisą“, tačiau nesakė, ar „mSpy“ naudodamas „Zendesk“ šnipinėjimo programų palaikymui pažeidė jos sąlygas. paslauga.

„Esame įsipareigoję laikytis savo naudotojų turinio ir elgesio politikos ir tinkamai bei pagal nustatytas procedūras tirti įtarimus dėl pažeidimų“, – sakė atstovas spaudai.

Jei jums ar jūsų pažįstamam asmeniui reikia pagalbos, Nacionalinė smurto artimoje aplinkoje karštoji linija (1-800-799-7233) teikia nemokamą, konfidencialią pagalbą 24 valandas per parą, 7 dienas per savaitę, smurto šeimoje ir smurto aukoms. Jei atsidūrėte avarinėje situacijoje, skambinkite 911 Koalicija prieš „Stalkerware“. turi išteklių, jei manote, kad jūsų telefonas buvo pažeistas šnipinėjimo programų.