Утечка данных в ходе операции по слежке за телефонами mSpy раскрыла данные миллионов ее клиентов, которые за последнее десятилетие приобрели доступ к приложению-шпиону для телефонов, а также украинскую компанию, стоящую за ним.
В мае 2024 года неизвестные злоумышленники украли из mSpy миллионы тикетов службы поддержки клиентов, включая личную информацию, электронные письма в службу поддержки и вложения, в том числе личные документы. Взломы поставщиков шпионского ПО становятся все более распространеннымиони остаются примечательными из-за часто включаемой в данные конфиденциальной личной информации, в данном случае о клиентах, которые пользуются услугой.
Взлом затронул записи об обслуживании клиентов, датированные 2014 годом, которые были украдены из системы поддержки клиентов Zendesk, принадлежащей производителю шпионского ПО.
mSpy — это приложение для слежки за телефоном, которое рекламирует себя как способ следить за детьми или следить за сотрудниками. Как и большинство шпионских программ, оно также широко используется для слежки за людьми без их согласия. Такие приложения также известны как «stalkerware», потому что люди, состоящие в романтических отношениях, часто используют их для слежки за своим партнером без его согласия или разрешения.
Приложение mSpy позволяет тому, кто установил шпионское ПО (обычно это тот, кто ранее имел физический доступ к телефону жертвы), удаленно просматривать содержимое телефона в режиме реального времени.
Как это часто бывает с телефонными шпионскими программами, записи клиентов mSpy включают электронные письма от людей, ищущих помощи в тайном отслеживании телефонов своих партнеров, родственников или детей, согласно обзору данных TechCrunch, которые мы получили независимо. Некоторые из этих электронных писем и сообщений включают запросы на поддержку клиентов от нескольких высокопоставленных военнослужащих США, действующего судьи федерального апелляционного суда США, наблюдательного органа правительственного департамента США и офиса шерифа округа Арканзас, ищущих бесплатную лицензию для пробного использования приложения.
Даже после сбора нескольких миллионов тикетов в службу поддержки клиентов, считается, что просочившиеся данные Zendesk представляют только часть общей клиентской базы mSpy, которая обратилась за поддержкой клиентов. Число клиентов mSpy, вероятно, намного больше.
Однако спустя месяц после взлома владельцы mSpy, украинская компания Brainstack, не признали факт взлома и не раскрыли его публично.
Трой Хант, который бегает сайт уведомления об утечке данных Have I Been Pwnedполучил копию полного набора украденных данных, добавив около 2,4 миллиона уникальных адресов электронной почты клиентов mSpy в каталог прошлых утечек данных на своем сайте.
Хант рассказал TechCrunch, что связался с несколькими подписчиками Have I Been Pwned, предоставив им информацию из украденных данных, и они подтвердили ему, что утечка данных верна.
mSpy — последняя взломанная операция по шпионскому программному обеспечению для телефонов за последние месяцы, сообщает недавно составленный список TechCrunch. Утечка данных mSpy в очередной раз показывает, что производителям шпионского ПО нельзя доверять в плане обеспечения безопасности данных — как их клиентов, так и их жертв.
Миллионы сообщений клиентов mSpy
TechCrunch проанализировал утекший набор данных — более 100 гигабайт записей Zendesk, — который содержал миллионы отдельных тикетов в службу поддержки клиентов и соответствующие им адреса электронной почты, а также содержимое этих писем.
Некоторые адреса электронной почты принадлежат невольным жертвам, которые стали целью клиента mSpy. Данные также показывают, что некоторые журналисты связывались с компанией для получения комментариев после последнего известного нарушения компании в 2018 году. И несколько раз сотрудники правоохранительных органов США подавали или пытались подать повестки и юридические требования в mSpy. В одном случае после краткого обмена электронными письмами представитель mSpy предоставил информацию о счетах и адресах клиента mSpy — предполагаемого подозреваемого в деле о похищении и убийстве — агенту ФБР.
Каждый тикет в наборе данных содержал массив информации о людях, связывающихся с mSpy. Во многих случаях данные также включали их приблизительное местоположение на основе IP-адреса устройства отправителя.
TechCrunch проанализировал, где находились контактирующие клиенты mSpy, извлекая все координаты местоположения из набора данных и нанося данные на офлайн-картографический инструмент. Результаты показывают, что клиенты mSpy находятся по всему миру, с большими кластерами в Европе, Индии, Японии, Южной Америке, Великобритании и Соединенных Штатах.
Покупка шпионского ПО сама по себе не является незаконной, но продажа или использование шпионского ПО для слежки за кем-то без его согласия является незаконной. Прокуроры США обвиняемые производители шпионского ПО в прошлом, и федеральные власти и государственные сторожевые псы запретили компаниям, занимающимся шпионским ПО, заниматься разведкой, ссылаясь на риски для кибербезопасности и конфиденциальности, которые создает шпионское ПО. Клиенты, которые устанавливают шпионское ПО также может быть привлечен к ответственности за нарушение законов о прослушивании телефонных разговоров.
Электронные письма в просочившихся данных Zendesk показывают, что mSpy и его операторы прекрасно осведомлены о том, для чего клиенты используют шпионское ПО, включая мониторинг телефонов без ведома человека. В некоторых запросах упоминаются клиенты, спрашивающие, как удалить mSpy с телефона своего партнера после того, как его супруг узнал об этом. Набор данных также поднимает вопросы об использовании mSpy должностными лицами и агентствами правительства США, полицейскими управлениями и судебными органами, поскольку неясно, следовало ли за каким-либо использованием шпионского ПО юридическую процедуру.
Согласно данным, один из адресов электронной почты принадлежит Кевину Ньюсому, действующему апелляционному судье Апелляционного суда США одиннадцатого округа в Алабаме, Джорджии и Флориде, который использовал свой официальный правительственный адрес электронной почты, чтобы запросить возврат средств от mSpy.
Кейт Адамс, директор по трудовым отношениям Апелляционного суда США одиннадцатого округа, заявила TechCrunch: «Использование судьей Ньюсомом mSpy было исключительно его личным делом для решения семейного вопроса». Адамс отказалась отвечать на конкретные вопросы об использовании судьей mSpy или о том, давал ли на это согласие объект слежки Ньюсома.
Набор данных также демонстрирует интерес со стороны властей США и правоохранительных органов. В электронном письме от сотрудника Управления генерального инспектора Администрации социального обеспечения, контролирующего органа, которому поручено осуществлять надзор за федеральным агентством, был задан вопрос представителю mSpy, может ли контролирующий орган «использовать [mSpy] с некоторыми из наших уголовных расследований», не уточняя, каким образом.
Представитель генерального инспектора Управления социального обеспечения, с которым связался TechCrunch, не стал комментировать, почему сотрудник обратился к mSpy от имени агентства.
Департамент шерифа округа Арканзас запросил бесплатные пробные версии mSpy, якобы для предоставления демонстрационных версий программного обеспечения родителям по соседству. Этот сержант не ответил на вопрос TechCrunch о том, были ли они уполномочены связываться с mSpy.
Компания, стоящая за mSpy
Это третья известная утечка данных mSpy С момента основания компании примерно в 2010 году mSpy является одной из самых долгоживущих операций по шпионскому программному обеспечению для телефонов, что отчасти позволило ей привлечь так много клиентов.
Несмотря на свои размеры и охват, операторы mSpy оставались скрытыми от общественности и в значительной степени избегали контроля — до сих пор. Нередко производители шпионского ПО скрывают реальные личности своих сотрудников, чтобы защитить компанию от правовых и репутационных рисков, связанных с проведением глобальной операции по слежке за телефонами, которая является незаконной во многих странах.
Однако утечка данных Zendesk от mSpy раскрыла, что ее материнской компанией является украинская технологическая компания Brainstack.
На сайте Brainstack не упоминается mSpy. Как и в своих публичных вакансиях, Brainstack упоминает только свою работу над неуказанным приложением «родительского контроля». Но внутренний дамп данных Zendesk показывает, что Brainstack активно и тесно вовлечен в операции mSpy.
В просочившихся данных Zendesk TechCrunch обнаружил записи, содержащие информацию о десятках сотрудников с адресами электронной почты Brainstack. Многие из этих сотрудников были связаны с поддержкой клиентов mSpy, например, отвечали на вопросы клиентов и запросы на возврат средств.
Утечка данных Zendesk содержит настоящие имена и в некоторых случаях номера телефонов сотрудников Brainstack, а также вымышленные имена, которые они использовали при ответе на тикеты клиентов mSpy, чтобы скрыть свою личность.
В ответ на обращение TechCrunch двое сотрудников Brainstack подтвердили свои имена, обнаруженные в просочившихся записях, но отказались обсуждать свою работу в Brainstack.
Генеральный директор Brainstack Владимир Ситников и старший исполнительный директор Катерина Юрчук не ответили на многочисленные электронные письма с просьбой прокомментировать ситуацию до публикации. Вместо этого представитель Brainstack, не назвавший своего имени, не стал оспаривать нашу информацию, но отказался предоставить ответы на список вопросов для руководителей компании.
Неясно, как и кем был скомпрометирован экземпляр Zendesk mSpy. Впервые о взломе сообщила швейцарская хакерша maia arson crimew, а затем данные были предоставлены DDoSecrets, некоммерческому коллективу по обеспечению прозрачности, который индексирует утекшие наборы данных в интересах общественности.
В ответ на просьбу прокомментировать ситуацию представитель Zendesk Кортни Блейк заявила изданию TechCrunch: «На данный момент у нас нет доказательств того, что платформа Zendesk подверглась взлому», но не стала уточнять, является ли использование Zendesk компанией mSpy для поддержки своих операций по шпионскому программному обеспечению нарушением ее условий обслуживания.
«Мы стремимся соблюдать нашу Политику в отношении пользовательского контента и поведения и расследуем заявления о нарушениях надлежащим образом и в соответствии с нашими установленными процедурами», — заявил представитель.
Если вам или кому-то из ваших знакомых нужна помощь, Национальная горячая линия по домашнему насилию (1-800-799-7233) предоставляет круглосуточную бесплатную конфиденциальную поддержку жертвам домашнего насилия и жестокого обращения. Если вы находитесь в чрезвычайной ситуации, звоните по номеру 911. Коалиция против сталкерского ПО есть ресурсы, если вы считаете, что ваш телефон подвергся атаке шпионского ПО.