Um hacktivista coletou mais de 500 mil registros de pagamento de um fornecedor de um aplicativo de monitoramento telefônico “stalkerware” de consumo, expondo alguns dos endereços de e-mail e informações de pagamento de clientes que pagaram para espionar outras pessoas.

O acordo inclui registros de pagamento para serviços de rastreamento telefônico como Geofinder e uMobix, serviços como Peekviewer (anteriormente Glassagram), que pretende dar acesso a contas privadas do Instagram, e vários outros aplicativos de monitoramento e rastreamento do mesmo fornecedor, uma empresa ucraniana chamada Struktura.

dados do cliente também Contém registros de transações do Xnspyaplicativos conhecidos de monitoramento de telefone, Dados pessoais vazados em 2022 Dos dispositivos Android e iPhones de dezenas de milhares de pessoas desavisadas.

Este é o exemplo mais recente de um fornecedor de monitoramento vazando informações de clientes devido a uma falha de segurança. Nos últimos anos, Dezenas de aplicativos de stalkerware Estas são as pessoas (muitas vezes as próprias vítimas) que são hackeadas e têm seus dados pessoais perdidos, vazados ou expostos devido à segurança cibernética desleixada por parte dos operadores de stalkerware.

investigação

Para entrar em contato com Zack Whittaker com segurança, entre em contato com ele através do nome de usuário do Signal zackwhittaker.1337. Contate Lorenzo Franceschi-Bicchierai com segurança no Signal (+1 917 257 1382) ou via Telegram, Keybase e Wire @lorenzofb. e-mail.

Uma vez implantados no telefone de alguém, aplicativos de stalkerware como o uMobix e o Xnspy carregam e compartilham os dados pessoais da vítima, incluindo registros de chamadas, mensagens de texto, fotos, histórico de navegação e dados precisos de localização, com a pessoa que plantou o aplicativo.

Aplicativos como UMobix e Xnspy anunciam explicitamente seus serviços como permitindo que as pessoas espionem seus cônjuges ou parceiros domésticos. o que é ilegal.

Os dados vistos pelo TechCrunch incluíam aproximadamente 536.000 endereços de e-mail de clientes, os aplicativos e marcas pelos quais pagaram, o valor que pagaram, o tipo de cartão de pagamento (como Visa ou Mastercard) e os últimos quatro dígitos do cartão. Os registros do cliente não incluíam datas de pagamento.

O TechCrunch verificou a autenticidade dos dados obtendo vários registros de transações, incluindo endereços de e-mail descartáveis, em caixas de entrada públicas, como o Mailinator, e executando esses registros por meio de vários portais de redefinição de senha fornecidos por vários aplicativos de monitoramento. Ao redefinir as senhas das contas associadas aos endereços de e-mail públicos, determinamos que se tratava de contas genuínas.

Também verificamos os dados combinando o número exclusivo da fatura de cada transação do conjunto de dados vazado com a página de checkout do fornecedor de monitoramento. Isso é possível porque a página de checkout permite recuperar os mesmos dados de clientes e transações do servidor sem exigir senha.

O hacktivista, que atende pelo apelido de “Wicked”, disse ao TechCrunch que extraiu dados de perseguidores de fornecedores de software graças a um bug “pequeno” no site. O hacktivista disse que “gosta de mirar em aplicativos usados ​​para espionar pessoas” e depois publicou os dados extraídos em fóruns de hackers conhecidos.

A lista do fórum de hackers lista o fornecedor de vigilância como Ersten Group, que se descreve como uma startup de desenvolvimento de software com sede no Reino Unido.

O TechCrunch descobriu que vários endereços de e-mail no conjunto de dados usados ​​para testes e suporte ao cliente faziam referência à Struktura, uma empresa ucraniana com o mesmo site do Grupo Ersten. O registro mais antigo do conjunto de dados contém o endereço de e-mail da CEO da Struktura, Viktoriia Zosim, cujo valor da transação foi de US$ 1.

Representantes do Elsten Group não responderam aos pedidos de comentários. Zosim, do Struktura, não respondeu aos pedidos de comentários.

Source link