FTC mantém proibição do fundador do stalkerware, Scott Zuckerman

um stalkerware Os fabricantes forçados a sair da indústria de vigilância por violações de dados que comprometeram as informações pessoais dos seus clientes e das pessoas que espiavam não poderão voltar a vender software invasivo, de acordo com a Comissão Federal de Comércio.

A FTC negou um pedido de Scott Zuckerman, fundador da empresa de spyware de consumo Support King e suas subsidiárias SpyFone e OneClickMonitor, para suspender a proibição.

Na segunda-feira, o F.T.C. Anúncio de negação em comunicado de imprensa Depois de Zuckerman peticionado Um órgão de fiscalização federal pediu que a proibição fosse revogada ou modificada em julho.

Em 2021, FTC baniu o Sr. Zuckerman Proibia “oferecer, promover, vender ou anunciar qualquer aplicativo, serviço ou negócio de vigilância”, bloqueando efetivamente a operação de outro negócio de stalkerware. A agência também ordenou que Zuckerman excluísse todos os dados coletados pelo SpyFone, passasse por auditorias frequentes e estabelecesse certas práticas de segurança cibernética para seus negócios.

“SpyFone é a marca descarada de um negócio de vigilância que ajudou perseguidores a roubar informações pessoais”, disse Samuel Levin, então diretor interino do Bureau de Proteção ao Consumidor da FTC. “Embora o stalkerware tenha sido escondido do proprietário do dispositivo, ele foi completamente exposto a hackers que se aproveitaram da falta de segurança da empresa.”

em sua petiçãoDe acordo com a petição, Zuckerman argumentou que os requisitos de segurança da ordem da FTC dificultaram a operação de outros negócios devido aos custos financeiros, embora Support King não esteja mais no mercado e atualmente esteja operando apenas um restaurante e planejando outros “negócios de turismo” em Porto Rico.

Quando contatado por e-mail, Zuckerman se recusou a comentar, encaminhando as perguntas ao seu advogado.

A proibição da FTC resultou de um incidente de 2018. Pesquisador de segurança descobre bucket Amazon S3 pertencente ao SpyFone Isso coloca dados altamente confidenciais on-line, incluindo selfies, mensagens de texto, mensagens de aplicativos de bate-papo, gravações de voz, contatos, informações de localização, senhas e logins com hash e muito mais para qualquer pessoa ver e acessar.

Os dados vazados incluíam 44.109 endereços de e-mail exclusivos, bem como “pelo menos 2.208 ‘clientes’ atuais e centenas ou milhares de fotos e áudio dentro de cada pasta” de 3.666 telefones que tinham o stalkerware SpyFone instalado.

Menos de um ano após o pedido da FTC de 2021; TechCrunch relatado Zuckerman parecia dirigir outra empresa de stalkerware. Em 2022, o TechCrunch recebeu uma grande quantidade de dados comprometidos do aplicativo stalkerware SpyTrac. Os dados revelam que o SpyTrac é administrado por desenvolvedores autônomos com vínculos diretos com o Support King e é uma tentativa de contornar a proibição da FTC. Além disso, os dados comprometidos incluíam registros do SpyFone, que Zuckerman foi obrigado a excluir, bem como chaves para acessar o armazenamento em nuvem do OneClickMonitor, outro de seus aplicativos de stalkerware.

Eva Galperin, uma proeminente especialista em stalkerware, comemorou a notícia. “O Sr. Zuckerman claramente esperava que, depois de alguns anos escondido, todos esquecessem por que a FTC emitiu a proibição não apenas contra a empresa, mas contra o Sr. Zuckerman em particular”, disse Galperin ao TechCrunch.

As aparentes violações das proibições da FTC por parte de Zuckerman, que o TechCrunch revelou em 2022, “sugerem que ele não aprendeu a lição”, acrescentou Galperin, diretor de segurança cibernética da Electronic Frontier Foundation, uma organização sem fins lucrativos de direitos digitais.

Os aplicativos Stalkerware permitem que os clientes espionem secretamente os telefones e dispositivos de seus entes queridos. Além de permitir atividades potencialmente ilegais, pelo menos 26 empresas de stalkerware foram hackeadas ou ficaram com dados sensíveis expostos online nos últimos oito anos. De acordo com dados compilados pelo TechCrunch. Estes repetidos incidentes mostram que estas empresas falham repetidamente na proteção da privacidade dos seus clientes e daqueles que espionam.