mSpy, empresa de spyware móvel hackeada, dados de milhares de clientes vazados na Dark Web

Empresa de Spyware Móvel mSpy Hackeada, Dados de Clientes Expostos a Ciberbullying

mSpy, uma empresa de spyware móvel cuja base de dados apareceu na Dark Web, parece ter sido severamente hackeada na semana passada. Aparentemente, uma enorme quantidade de dados postados na Dark Web, como mensagens de texto, e-mails, IDs da Apple, detalhes de pagamento, senhas, fotos e dados de localização dos usuários do mSpy foram todos expostos, conforme relatado no site KrebsOnSecurity, que divulgou a história sobre a aparente violação ainda não confirmada.

A tecnologia da mSpy é vendida como um meio para pais e empregadores espionarem secretamente crianças e funcionários, como explica seu texto corporativo:

mSpy é o aplicativo mais popular e fácil de usar para cuidar de seus filhos, prevenir furtos e supervisionar o desempenho de seus funcionários. O software de monitoramento móvel roda de forma invisível no dispositivo alvo para rastrear toda a atividade, incluindo histórico de chamadas, localização GPS, atualizações de calendário, mensagens de texto, e-mails, histórico da web e muito mais.

A empresa que fala sobre dois milhões de usuários e desenvolve tecnologia para Windows, iOS, Android e PCs Mac ainda não comentou sobre a aparente violação. Os hackers desconhecidos por trás do vazamento sugerem que a base de dados contém detalhes de mais de 400.000 usuários do mSpy que só são acessíveis via Tor, incluindo IDs da Apple e senhas associadas, dados de rastreamento e detalhes de pagamento em cerca de 145.000 transações bem-sucedidas. Tor é uma tecnologia que permite aos usuários ocultar seu verdadeiro endereço de internet e permite que os usuários hospedem sites que são muito difíceis de serem hackeados.

É difícil sentir simpatia pela mSpy por ser vitimizada, já que as verdadeiras vítimas da aparente violação são, sem dúvida, os alvos da espionagem, e não a própria empresa.

O estrategista de segurança global da fabricante Metasploit Rapid7, Trey Ford, comentou: “As pessoas que estão sendo espionadas estavam tendo suas informações roubadas por uma parte, e agora isso está se movendo rapidamente pelo submundo.

“Não apenas a legalidade da instalação desse software é questionável (CFAA, etc.), mas aqueles que têm o software em seus dispositivos tiveram suas vidas expostas em uma divulgação de informações não contida – é altamente improvável que as vítimas desse crime compreendam a extensão do dano por um longo tempo, se é que algum dia entenderão”, acrescentou.

“Isto sublinha como informações sensíveis podem não ser necessariamente protegidas por regulamentações e auditores. Executivos corporativos são efetivamente proprietários de informações, responsáveis pelos dados coletados, como são armazenados e protegidos, e o que fazer quando algo acontece”, acrescentou.

O conhecido e respeitado jornalista Brian Krebs, a partir de suas investigações sobre o vazamento de dados, disse que uma coisa é clara: “Há uma quantidade louca de dados pessoais e sensíveis neste cache, incluindo fotos, dados de calendário, conversas de e-mail corporativo e conversas muito privadas. Também estão incluídos no vazamento milhares de e-mails de solicitações de suporte de pessoas ao redor do mundo que pagaram entre $8,33 a até $799 por uma variedade de assinaturas do software de vigilância da mSpy.”

Não há clareza sobre onde a mSpy está baseada. O site da empresa não parece listar um endereço físico oficial, sugere que possui escritórios nos Estados Unidos, Alemanha e Reino Unido. Por outro lado, os registros históricos de registro de domínio mostram que a empresa está ligada a uma firma agora não funcional chamada MTechnology LTD, que é baseada no Reino Unido.

Documentos obtidos da Companies House, um registro oficial de corporações no Reino Unido, apontam que os dois membros que fundaram a empresa são programadores autodescritos, Pavel Daletski e Aleksey Fedorchuk. Esses registros (PDF) mostram que Daletski é um cidadão britânico e que o Sr. Fedorchuk é da Rússia. Nenhum deles pôde ser contatado para comentar.

Documentos judiciais (PDF) obtidos do Tribunal Distrital dos EUA em Jacksonville, Flórida, sobre uma disputa de marca registrada envolvendo mSpy e Daletski afirmam que a mSpy tem um endereço baseado nos EUA de 800 West El Camino Real, em Mountain View, Califórnia. Esses mesmos documentos judiciais afirmam que Daletski é diretor de uma empresa baseada nas Seychelles chamada Bitex Group LTD. A ação judicial foi curiosamente movida pela Retina-X Studios, um concorrente da mSpy baseado em Jacksonville, Flórida, que fabrica um produto chamado MobileSpy.

As autoridades e reguladores dos EUA têm uma visão distinta sobre empresas que oferecem serviços de spyware móvel como a mSpy. A mSpy também descreve que seu produto funciona mesmo em iPhones não desbloqueados, permitindo que os usuários acessem os contatos, mensagens de texto, registros de chamadas, eventos, histórico de navegação e notas do titular do dispositivo.

As perguntas frequentes da empresa afirmam que “Se você optou por comprar mSpy Sem Jailbreak, e você tem as credenciais do iCloud do usuário móvel, você não precisará de acesso físico ao dispositivo. No entanto, pode haver algumas situações em que o acesso físico pode ser necessário. Se você comprar mSpy para um iPhone ou tablet com jailbreak, você precisará de 5 a 15 minutos de acesso físico ao dispositivo para uma instalação bem-sucedida.”

Em março de 2015, um porta-voz de relações públicas da mSpy disse ao KrebsOnSecurity que aproximadamente 40% dos usuários da empresa são pais que estão interessados em manter um olho em seus filhos. Se considerarmos essa declaração como verdadeira, seria ridículo ver que tantos pais agora expuseram involuntariamente seus filhos a agressores, predadores e outros nerds devido a essa violação.