Un hacktivista ha rubato più di mezzo milione di registrazioni di pagamento da un fornitore di app di sorveglianza telefonica “stalkerware” di livello client, esponendo gli indirizzi e-mail e le informazioni di pagamento parziali dei clienti che hanno pagato per spiare gli altri.
Le transazioni contengono registrazioni di pagamenti per servizi di localizzazione telefonica come Geofinder e uMobix, nonché servizi come Peekviewer (ex Glassagram), che pretendono di consentire l’accesso advert account Instagram privati, tra molte altre app di monitoraggio e tracciamento fornite dallo stesso fornitore, una società ucraina chiamata Struktura.
I dati dei clienti includono anche i file delle transazioni di Xnspy, una nota app di sorveglianza telefonica, che nel 2022 ha diffuso dati privati da decine di migliaia di dispositivi Android e iPhone di ignare persone.
Questo è l’ultimo esempio di un fornitore di sistemi di sorveglianza che espone le informazioni dei propri clienti a causa di falle di sicurezza. Negli ultimi anni, dozzine di app di stalkerware sono state hackerate o sono riuscite a perdere, divulgare o esporre i dati privati di persone – spesso le vittime stesse – grazie alla scadente sicurezza informatica da parte degli operatori di stalkerware.
Contattaci
Per contattare Zack Whittaker in modo sicuro, contatta tramite il nome utente Sign zackwhittaker.1337. Contatta Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al +1 917 257 1382, o tramite Telegram, Keybase e Wire @lorenzofb, o electronic mail.
Le app stalkerware come uMobix e Xnspy, una volta installate sul telefono di qualcuno, caricano i dati privati della vittima, inclusi i registri delle chiamate, i messaggi di testo, le foto, la cronologia di navigazione e i dati precisi sulla posizione, che vengono poi condivisi con la persona che ha installato l’app.
App come uMobix e Xnspy hanno esplicitamente commercializzato i loro servizi per consentire alle persone di spiare i propri coniugi e conviventi, il che è illegale.
I dati, visualizzati da TechCrunch, includevano circa 536.000 righe di indirizzi e-mail dei clienti, per quale app o marchio il cliente ha pagato, quanto ha pagato, il tipo di carta di pagamento (come Visa o Mastercard) e le ultime quattro cifre sulla carta. I file dei clienti non includevano le date dei pagamenti.
TechCrunch ha verificato l’autenticità dei dati prendendo diversi file di transazioni contenenti indirizzi e-mail usa e getta con caselle di posta pubbliche, come Mailinator, e facendoli funzionare attraverso i vari portali di reimpostazione della password forniti dalle varie app di sorveglianza. Reimpostando le password sugli account associati a indirizzi electronic mail pubblici, abbiamo stabilito che si trattava di account reali.
Abbiamo anche verificato i dati abbinando il numero di fattura univoco di ciascuna transazione dal set di dati trapelato con le pagine di pagamento del fornitore di servizi di sorveglianza. Abbiamo potuto farlo perché la pagina di pagamento ci ha permesso di recuperare gli stessi dati relativi al cliente e alla transazione dal server senza bisogno di una password.
L’hacktivista, conosciuto con il soprannome di “wikkid”, ha detto a TechCrunch di aver rubato i dati dal fornitore di stalkerware grazie a un bug “banale” nel suo sito internet. L’hacktivista ha affermato che “si divertono a prendere di mira le app utilizzate per spiare le persone” e successivamente ha pubblicato i dati raccolti su un noto discussion board di hacking.
L’elenco del discussion board di hacking elenca il fornitore di sistemi di sorveglianza come Ersten Group, che si presenta come una startup di sviluppo software program presentata nel Regno Unito.
TechCrunch ha trovato diversi indirizzi e-mail nel set di dati utilizzato per i take a look at e l’assistenza clienti fa invece riferimento a Struktura, una società ucraina che ha un sito Internet identico a Ersten Group. Il primo file nel set di dati conteneva l’indirizzo e-mail dell’amministratore delegato di Struktura, Viktoriia Zosim, per una transazione di 1 dollaro.
I rappresentanti di Ersten Group non hanno risposto alle nostre richieste di commento. Zosim di Struktura non ha restituito una richiesta di commento.
