Foto: Leon Neal (Getty Images)
mSpy, een bedrijf dat verkoopt software die is ontworpen om gebruikers te laten bespioneren hun kinderen, je partner, of iemand anders die ze willen houden hun ogen op, links blootgesteld zijn meer dan twee miljoen records “met inbegrip van de aankoop van software en iCloud gebruikersnamen en authenticatie tokens van apparaten die draaien op mSky,” TechCrunch gemeld.
mSpy verkoopt haar software als de “ultieme monitoring software voor ouderlijke controle”, aldus CNET. Maar het is onderdeel van een brede familie van spyware apps die hebben de aandacht getrokken van de federale aanklagers in het verleden, zoals de 2014 aanklacht en de daaropvolgende schuldig pleidooi van de Pakistaanse ondernemer Hammad Akbar op kosten van de verkoop van en reclame aftappen apparatuur. Terwijl mSpy heeft gebruiker aan de overeenkomst disclaimers zeggen dat de software niet worden gebruikt voor illegale doeleinden, het bewijs is ongebreideld veel gebruikers een abonnement te nemen voor dat specifieke doel, dat is de reden waarom deze apps zijn soms aangeduid als “stalkerware.”
Het lek ontstaat via ontwikkelaar Nitish Shah, die security-onderzoeker Brian Krebs schreef op zijn blog gemeld hem over een kwetsbaarheid in mSpy de online database. De beveiligde data base heeft geen verificatie vereist, en “iedereen toegestaan een query up-to-the-minute mSpy records voor zowel de klant transacties op mSpy de site van en voor gsm-gegevens verzameld door mSpy software,” Krebs schreef.
De database is sindsdien beperkt na Krebs bereikt mSpy managers, maar volgens screenshots geplaatst op zijn site, iedereen die had ontdekt dat de strijd zou kunnen toegang hebben tot oproeplogboeken, teksten, browser geschiedenis, en iCloud gebruikersnaam en authenticatie tokens, en Whatsapp en Facebook berichten van mensen met de mSpy software die op hun telefoons. Interne mSpy gegevens van een bedrijf dat werd blootgesteld “de transactie details van alle mSpy licenties die zijn aangeschaft in de afgelopen zes maanden, met inbegrip van de klant naam, e-mailadres, postadres en hoeveelheid betaald,” Krebs toegevoegd.
Dat is te zeggen, de spion kon zijn geworden van de bespioneerd.
In een e-mail naar Krebs, een mSpy medewerker zich te identificeren als de chief security officer en erkend dat de inbreuk, maar zei dat de klant de rekeningen “gecodeerd” en slechts een handvol mensen hadden toegang tot de gegevens.
Het is niet de eerste keer mSpy heeft gelekt, volgens Krebs. In 2015, in de ruimte van een paar weken, de service naar verluidt had twee afzonderlijke inbreuken op de beveiliging.
[TechCrunch/Krebs on Security]