Una filtración de datos en la operación de vigilancia telefónica mSpy ha
expuesto a millones de sus clientes que compraron acceso a la aplicación de
software espía para teléfonos durante la última década, así como a la empresa
ucraniana detrás de ella.
mSpy es una aplicación de vigilancia telefónica que se promociona como una
forma de rastrear niños o monitorear a los empleados. Como la mayoría de los
programas espía, también se utiliza mucho para vigilar a las personas sin su
consentimiento.
Este tipo de aplicaciones también se conocen
como «stalkerware» porque las personas que mantienen
relaciones románticas suelen utilizarlas para vigilar a su pareja sin
consentimiento o permiso.
incluida información personal, correos electrónicos de soporte y archivos
adjuntos, incluidos documentos personales, de mSpy en mayo de 2024.
Si bien los ataques a proveedores de software espía son cada vez más comunes,
siguen siendo notables debido a la información personal altamente
confidencial.
El ataque abarcó registros de servicio al cliente que datan desde 2014, que
fueron robados del sistema de atención al cliente basado en Zendesk del
fabricante de software espía.
La aplicación mSpy permite a quien haya colocado el software espía,
generalmente alguien que previamente tuvo acceso físico al teléfono de la
víctima, ver de forma remota el contenido del teléfono en tiempo real. Comprar
software espía no es ilegal en sí mismo, pero vender o utilizar software espía
para espiar a alguien sin su consentimiento sí lo es.
TechCrunch analizó
el conjunto de datos filtrado (más de 100 gigabytes de registros de Zendesk)
que contenía millones de tickets de servicio al cliente individuales y sus
correspondientes direcciones de correo electrónico, así como el contenido de
esos correos electrónicos.
Algunas de las direcciones de correo electrónico pertenecen a víctimas
involuntarias que fueron atacadas por un cliente de mSpy. Los datos también
muestran que algunos periodistas se comunicaron con la compañía para hacer
comentarios luego de la última violación conocida de la compañía en 2018. Y,
en varias ocasiones, agentes de la ley estadounidenses presentaron o
intentaron presentar citaciones y demandas legales ante mSpy. En un caso,
luego de un breve intercambio de correos electrónicos, un representante de
mSpy proporcionó la información de facturación y dirección de un cliente de
mSpy (un presunto criminal sospechoso en un caso de secuestro y homicidio) a
un agente del FBI.
Como es común con el software espía para teléfonos, los registros de clientes
de mSpy incluyen correos electrónicos de personas que buscan ayuda para
rastrear subrepticiamente los teléfonos de sus parejas, familiares o hijos.
Algunos de esos correos electrónicos y mensajes incluyen solicitudes de
atención al cliente de varios militares estadounidenses de alto rango, un juez
de la corte federal de apelaciones de los EE.UU., y la oficina del sheriff del
condado de Arkansas que buscan una licencia gratuita para probar la
aplicación.
Troy Hunt, que dirige el sitio de notificación de violaciones de datos Have I
Been Pwned, obtuvo una copia del conjunto de datos filtrado completo,
agregando alrededor de 2,4 millones de direcciones de correo electrónico
únicas de clientes de mSpy
al catálogo de violaciones de datos pasadas de su sitio.
mSpy es la última operación de software espía para teléfonos que ha sido
pirateada en los últimos meses, según una
lista compilada recientemente por TechCrunch. La violación en mSpy muestra una vez más que no se puede confiar en que los
fabricantes de software espía mantengan seguros sus datos, ya sea los de sus
clientes o sus víctimas.
La empresa detrás de mSpy
Esta es la
tercera violación de datos conocida de mSpy
desde que la compañía comenzó alrededor de 2010. mSpy es una de las
operaciones de software espía telefónico de mayor duración, lo que en parte es
la razón por la que acumuló tantos clientes.
A pesar de su tamaño y alcance, los operadores de mSpy han permanecido ocultos
a la vista del público y han evadido en gran medida el escrutinio… hasta
ahora. No es raro que los fabricantes de software espía oculten las
identidades reales de sus empleados para proteger a la empresa de los riesgos
legales y de reputación asociados con la ejecución de una operación global de
vigilancia telefónica, que es ilegal en muchos países.
Pero la filtración de datos de Zendesk de mSpy expuso a su empresa matriz como
una empresa de tecnología ucraniana llamada Brainstack. El sitio web de
Brainstack no menciona mSpy. Al igual que sus ofertas públicas de empleo,
Brainstack solo se refiere a su trabajo en una aplicación de «control
parental» no especificada. Pero el volcado de datos interno de Zendesk muestra
que Brainstack está amplia e íntimamente involucrado en las operaciones de
mSpy.
En los datos filtrados de Zendesk, TechCrunch encontró registros que contienen
información sobre docenas de empleados con direcciones de correo electrónico
de Brainstack. Muchos de estos empleados participaron en la atención al
cliente de mSpy, como responder a las preguntas de los clientes y solicitudes
de reembolso.
Los datos filtrados de Zendesk contienen los nombres reales y, en algunos
casos, los números de teléfono de los empleados de Brainstack, así como los
nombres falsos que utilizaron al responder a los tickets de los clientes de
mSpy para ocultar sus propias identidades.
No está claro cómo se vio comprometida la instancia Zendesk de mSpy ni por
quién. La violación fue revelada por primera vez por la hacker maia arson
crimew, con sede en Suiza, y posteriormente los datos se pusieron a
disposición de DDoSecrets, un colectivo de transparencia sin fines de lucro
que indexa conjuntos de datos filtrados en interés público.
Fuente:
TechCrunch
Los comentarios están cerrados.