Bị hack, rò rỉ, tiết lộ: Tại sao bạn không nên sử dụng ứng dụng theo dõi lén
Có một ngành công nghiệp mờ ám dành cho những người muốn theo dõi và giám sát gia đình của họ. Nhiều người điều hành ứng dụng tiếp thị phần mềm của mình – đôi khi được gọi là stalkerware – cho đối tác ghen tuông có thể sử dụng những ứng dụng này để truy cập vào điện thoại của nạn nhân từ xa. Tuy nhiên, mặc dù dữ liệu nhạy cảm này, có một số công ty đang mất một lượng lớn dữ liệu đó.
Theo đếm của TechCrunch, tính cả vụ hack mới nhất trên mSpy, đã có ít nhất 20 công ty stalkerware kể từ năm 2017 đã bi hack hoặc rò rỉ dữ liệu của khách hàng và nạn nhân trực tuyến. Đó không phải là một sai số: hai mươi công ty stalkerware đã từng bị hack hoặc tiết lộ dữ liệu quan trọng vào những năm gần đây. Và bốn công ty stalkerware đã bị hack nhiều lần.
Chỉ trong năm 2024, đã có ít nhất hai vụ hack stalkerware lớn. Vụ vi phạm gần đây nhất đã ảnh hưởng đến mSpy, một trong những ứng dụng stalkerware hoạt động lâu nhất, và đã tiết lộ hàng triệu phiếu hỗ trợ khách hàng, trong đó bao gồm dữ liệu cá nhân của hàng triệu khách hàng của nó.
trước đây, một hacker không xác định đã đột nhập vào máy chủ của công ty sản xuất stalkerware pcTattletale có trụ sở tại Mỹ. Sau đó, hacker đã đánh cắp và rò rỉ dữ liệu nội bộ của công ty. Họ cũng phá hoại trang web chính thức của pcTattletale với mục tiêu làm xấu đi công ty. Hacker đã đề cập đến một bài báo gần đây của TechCrunch trong đó chúng tôi báo cáo rằng pcTattletale đã được sử dụng để giám sát một số máy tính trước quầy tiếp tân tại một chuỗi khách sạn ở Mỹ.
Kết quả của vụ hack, rò rỉ và bê bối này, người sáng lập pcTattletale Bryan Fleming nói rằng ông đang đóng cửa công ty của mình. Các ứng dụng theo dõi người tiêu dùng như mSpy và pcTattletale thường được gọi là “stalkerware” (hoặc spouseware) vì những người chồng và vợ, đối tác sử dụng chúng để giám sát và nhìn trộm người thân yêu của họ một cách âm thầm. Các công ty này thường xuyên tiếp thị sản phẩm của mình như là giải pháp để phát hiện ra đối tác ngoại tình bằng cách khuyến khích hành vi không đúng luật và không đạo đức. Và đã có nhiều vụ kiện tòa, điều tra báo chí và khảo sát của những nơi tạm trú chống bạo lực gia đình cho thấy rằng theo dõi và giám sát trực tuyến có thể dẫn đến trường hợp tổn hại và bạo lực trong thế giới thực.
Và đó là lý do tại sao hacker đã lặp đi lặp lại mục tiêu vào một số trong những công ty này. Eva Galerpin, giám đốc bảo mật mạng tại Electronic Frontier Foundation và một nhà nghiên cứu và hoạt động hàng đầu, đã điều tra và chiến đấu với stalkerware trong nhiều năm, nói rằng ngành công nghiệp stalkerware là một “mục tiêu mở.”
“Những người điều hành những công ty này có lẽ không phải là những người tỉ mỉ nhất hoặc thực sự quan tâm đến chất lượng của sản phẩm của họ,” Galperin nói với TechCrunch. Với lịch sử hack stalkerware, điều đó có thể là một lời nhủ rằng. Và bởi vì thiếu sự quan tâm để bảo vệ khách hàng của họ – và do đó là dữ liệu cá nhân của hàng ngàn nạn nhân không biết – sử dụng những ứng dụng này là chưa bao giờ là một trách nhiệm. Các khách hàng stalkerware có thể đang vi phạm pháp luật, lạm dụng đối tác của họ bằng cách giám sát họ một cách trái phép, và, trên hết, đặt dữ liệu của tất cả mọi người vào nguy cơ.
một lịch sử hack stalkerware Cuộc bùng nổ của các vụ hack stalkerware bắt đầu vào năm 2017 khi một nhóm hacker đột nhập vào công ty Retina-X có trụ sở tại Mỹ và FlexiSpy có trụ sở tại Thái Lan liền kề. Hai vụ hack đó đã tiết lộ rằng các công ty này có tổng số 130.000 khách hàng trên toàn thế giới. Trong lúc đó, những hacker đã – tự hào – chịu trách nhiệm cho những vấn đề giám đốc này rõ ràng nói rằng động cơ của họ là để tiết lộ và hy vọng giúp phá hủy một ngành mà họ xem là độc hại và không đạo đức.
“Tôi sẽ đốt chúng cho tan thành từng khối và không chỗ nào để họ có thể che giấu,” một trong những hacker liên quan nói với Motherboard.
Liên quan đến FlexiSpy, hacker này thêm, “Tôi hy vọng họ sẽ tan rã và thất bại như một công ty, và có một thời gian để suy nghĩ về những gì họ đã làm. Tuy nhiên, tôi lo ngại rằng họ có thể thử và tái sinh mình dưới một hình thức mới. Nhưng nếu họ làm vậy, tôi sẽ ở đó.”
Bất chấp vụ hack và nhiều năm chú ý các vấn đề công khai tiêu cực, FlexiSpy vẫn hoạt động cho đến ngày nay. Không thể nói như vậy với Retina-X. Hacker đã đột nhập vào Retina-X đã xóa máy chủ của nó với mục tiêu làm trở ngại cho hoạt động của công ty. Công ty đã quay trở lại – và sau đó lại bị hack một lần nữa vào một năm sau. Vài tuần sau vụ hack thứ hai, Retina-X đã thông báo rằng họ sẽ đóng cửa.
Chỉ vài ngày sau vụ hack thứ hai của Retina-X, những hacker đeo buffkác xâm nhập vào Mobistealth và Spy Master Pro, đánh cắp gigabyte dữ liệu cá nhân và doanh nghiệp, cũng như email và vị trí GPS chính xác của nạn nhân. Một công ty stalkerware khác, SpyHuman có trụ sở ở Ấn Độ, đã gặp phải kết cục tương tự sau vài tháng, với hacker đánh cắp tin nhắn văn bản và dữ liệu cuộc gọi, bao gồm các nhật ký về ai gọi ai và khi nào.
Vài tuần sau, có trường hợp rò rỉ dữ liệu ngẫu nhiên, chứ không phải hack. SpyFone để lại một ngăn lưu trữ S3 trên Amazon không bảo vệ trực tuyến, điều này có nghĩa là bất kỳ ai cũng có thể thấy và tải về tin nhắn văn bản, ảnh, ghi âm âm thanh, thông tin liên hệ, vị trí, mật khẩu và thông tin đăng nhập được mã hóa và tin nhắn Facebook và hơn thế nữa. Tất cả dữ liệu đó đã được đánh cắp từ nạn nhân, phần lớn trong số họ không biết họ được theo dõi và không biết dữ liệu cá nhân nhạy cảm nhất của họ cũng trên internet để mọi người thấy.
Những công ty stalkerware khác trong những năm đã để lại dữ liệu cá nhân và nạn nhân trực tuyến một cách bất cẩn bao gồm FamilyOrbit, đã để lại 281 gigabyte dữ liệu cá nhân trực tuyến chỉ được bảo vệ bởi một mật khẩu dễ tìm; mSpy, đã tiết lộ hơn 2 triệu bản ghi khách hàng vào năm 2018; Xnore, đã để mọi khách hàng của mình xem dữ liệu cá nhân của các mục tiêu của khách hàng khác, bao gồm tin nhắn trò chuyện, tọa độ GPS, email, ảnh và nhiều hơn nữa; Mobiispy, đã để lại 25.000 bản ghi âm và 95.000 hình ảnh trên một máy chủ mà bất kì ai cũng có thể truy cập; KidsGuard, đã có một máy chủ đã cấu hình sai cho phép rò rỉ nội dung của nạn nhân; pcTattletale, đã trước khi bị hack cũng để lộ những ảnh chụp màn hình thiết bị của nạn nhân được tải lên vào thời gian thực trên một trang web mà bất kỳ ai có thể truy cập; và Xnspy, những nhà phát triển đã để lại thông tin đăng nhập và khóa cá nhân trong mã Ứng dụng, cho phép bất kỳ ai cũng có thể truy cập dữ liệu của nạn nhân. Đến quá trình của những công ty stalkerware khác thực sự bị hack, bao gồm Copy9, một hacker đã đánh cắp dữ liệu tất cả các mục tiêu giám sát của hàng, bao gồm tin nhắn văn bản và tin nhắn WhatsApp, ghi âm cuộc gọi, ảnh, liên hệ và lịch sử duyệt web; LetMeSpy, đã đóng cửa sau khi bị hacker đột nhập và xoá máy chủ; công ty WebDetetive có trụ sở tại Brazil, cũng nhận được máy chủ của họ được xóa vào sau đó bị hack; OwnSpy, cung cấp hầu hết phần mềm backend cho WebDetective, cũng bị hack; Spyhide, có một khuyết điểm trong mã nguồn của mình đã cho phép hacker truy cập vào các cơ sở dữ liệu back-end và năm dữ liệu của khoảng 60.000 nạn nhân bị hack; Oospy, một biểu trưng của Spyhide, đã đóng cửa lần thứ hai; và vụ hack mới nhất mSpy, không liên quan đến vụ rò rỉ đã đề cập trước đó.
Cuối cùng có TheTruthSpy, một mạng lưới của các ứng dụng stalkerware, giữ kỷ lục đáng ngờ của đã bị hack hoặc rò rỉ dữ liệu ít nhất ba lần riêng biệt.
Đã bị hack, nhưng không hối cải trong số 20 công ty stalkerware này, có tám công ty đã đóng cửa, theo đếm của TechCrunch.
Trong một trường hợp đầu tiên và hiện vẫn duy nhất, Ủy ban Thương mại Liên bang đã cấm SpyFone và giám đốc điều hành, Scott Zuckerman, không được hoạt động trong ngành giám sát sau một sự cố bảo mật trước đó làm lộ dữ liệu của nạn nhân. Một hoạt động stalkerware liên kết với Zuckerman, có tên SpyTrac, sau đó đã đóng cửa sau một điều tra của TechCrunch.
PhoneSpector và Highster, hai công ty khác không biết bị hack, cũng đã đóng cửa sau khi công tố viên tỉnh New York buộc các công ty khuyến khích khách hàng sử dụng phần mềm của họ cho giám sát trái phép.
Nhưng một công ty đóng cửa không có nghĩa là nó đã biến mất mãi mãi. Như trong trường hợp của Spyhide và SpyFone, một số chủ sở hữu và nhà phát triển sau một nhà sản xuất stalkerware đã đóng cửa đơn giản xây dựng lại thương hiệu.
“Tôi nghĩ rằng những vụ hack này làm điều gì đó. Chúng đã đạt được những điều, chúng đã gây một vết hở,” Galperin nói. “Nhưng nếu bạn nghĩ rằng nếu bạn hack một công ty stalkerware, họ sẽ đơn giản là rùng mình, chửi bới tên của bạn, biến mất trong một bóng khói màu xanh và không bao giờ xuất hiện lại, điều đó chắc chắn là không đúng.”
“Điều xảy ra thường xuyên nhất, khi bạn thực sự quản lý để tiêu diệt một công ty stalkerware, là công ty rẽ lối như nấm sau cơn mưa,” Galperin thêm.
Có một số tin vui. Trong báo cáo năm ngoái, công ty bảo mật Malwarebytes cho biết việc sử dụng stalkerware đang giảm theo dõi, theo dữ liệu của riêng họ của khách hàng bị nhiễm phần mềm loại này. Ngoài ra, Galperin…
#Hack #Ròrỉ #Stalkerware #TheoDõiLén #TechCrunch
There is a whole shady industry for people who want to monitor and spy on their families. Multiple app makers market their software — sometimes referred to as stalkerware — to jealous partners who can use these apps to access their victims’ phones remotely.
Yet, despite how sensitive this data is, an increasing number of these companies are losing huge amounts of it.
According to TechCrunch’s tally, counting the latest hack on mSpy, there have been at least 20 stalkerware companies since 2017 that are known to have been hacked or leaked customer and victims’ data online. That’s not a typo: Twenty stalkerware companies have either been hacked or had a significant data exposure in recent years. And four stalkerware companies were hacked multiple times.
In 2024 alone, there have been at least two massive stalkerware hacks. The most recent breach affected mSpy, one of the longest-running stalkerware apps, and exposed millions of customer support tickets, which included the personal data of millions of its customers.
Previously, an unknown hacker broke into the servers of the U.S.-based stalkerware maker pcTattletale. The hacker then stole and leaked the company’s internal data. They also defaced pcTattletale’s official website with the goal of embarrassing the company. The hacker referred to a recent TechCrunch article where we reported pcTattletale was used to monitor several front desk check-in computers at a U.S. hotel chain.
As a result of this hack, leak and shame operation, pcTattletale founder Bryan Fleming said he was shutting down his company.
Consumer spyware apps like mSpy and pcTattletale are commonly referred to as “stalkerware” (or spouseware) because jealous spouses and partners use them to surreptitiously monitor and surveil their loved ones. These companies often explicitly market their products as solutions to catch cheating partners by encouraging illegal and unethical behavior. And there have been multiple court cases, journalistic investigations, and surveys of domestic abuse shelters that show that online stalking and monitoring can lead to cases of real-world harm and violence.
And that’s why hackers have repeatedly targeted some of these companies.
Eva Galerpin, the director of cybersecurity at the Electronic Frontier Foundation and a leading researcher and activist who has investigated and fought stalkerware for years, said the stalkerware industry is a “soft target.”
“The people who run these companies are perhaps not the most scrupulous or really concerned about the quality of their product,” Galperin told TechCrunch.
Given the history of stalkerware compromises, that may be an understatement. And because of the lack of care for protecting their own customers — and consequently the personal data of tens of thousands of unwitting victims — using these apps is doubly irresponsible. The stalkerware customers may be breaking the law, abusing their partners by illegally spying on them, and, on top of that, putting everyone’s data in danger.
A history of stalkerware hacks
The flurry of stalkerware breaches began in 2017 when a group of hackers breached the U.S.-based Retina-X and the Thailand-based FlexiSpy back to back. Those two hacks revealed that the companies had a total number of 130,000 customers all over the world.
At the time, the hackers who — proudly — claimed responsibility for the compromises explicitly said their motivations were to expose and hopefully help destroy an industry that they consider toxic and unethical.
“I’m going to burn them to the ground, and leave absolutely nowhere for any of them to hide,” one of the hackers involved then told Motherboard.
Referring to FlexiSpy, the hacker added: “I hope they’ll fall apart and fail as a company, and have some time to reflect on what they did. However, I fear they might try and give birth to themselves again in a new form. But if they do, I’ll be there.”
Despite the hack, and years of negative public attention, FlexiSpy is still active today. The same cannot be said about Retina-X.
The hacker who broke into Retina-X wiped its servers with the goal of hampering its operations. The company bounced back — and then it got hacked again a year later. A couple of weeks after the second breach, Retina-X announced that it was shutting down.
Just days after the second Retina-X breach, hackers hit Mobistealth and Spy Master Pro, stealing gigabytes of customer and business records, as well as victims’ intercepted messages and precise GPS locations. Another stalkerware vendor, the India-based SpyHuman, encountered the same fate a few months later, with hackers stealing text messages and call metadata, which contained logs of who called who and when.
Weeks later, there was the first case of accidental data exposure, rather than a hack. SpyFone left an Amazon-hosted S3 storage bucket unprotected online, which meant anyone could see and download text messages, photos, audio recordings, contacts, location, scrambled passwords and login information, Facebook messages and more. All that data was stolen from victims, most of whom did not know they were being spied on, let alone know their most sensitive personal data was also on the internet for all to see.
Other stalkerware companies that over the years have irresponsibly left customer and victims’ data online are FamilyOrbit, which left 281 gigabytes of personal data online protected only by an easy-to-find password; mSpy, which leaked over 2 million customer records in 2018; Xnore, which let any of its customers see the personal data of other customers’ targets, which included chat messages, GPS coordinates, emails, photos and more; Mobiispy, which left 25,000 audio recordings and 95,000 images on a server accessible to anyone; KidsGuard, which had a misconfigured server that leaked victims’ content; pcTattletale, which prior to its hack also exposed screenshots of victims’ devices uploaded in real-time to a website that anyone could access; and Xnspy, whose developers left credentials and private keys left in the apps’ code, allowing anyone to access victims’ data.
As far as other stalkerware companies that actually got hacked, there was Copy9, which saw a hacker steal the data of all its surveillance targets, including text messages and WhatsApp messages, call recordings, photos, contacts, and brows history; LetMeSpy, which shut down after hackers breached and wiped its servers; the Brazil-based WebDetetive, which also got its servers wiped, and then hacked again; OwnSpy, which provides much of the backend software for WebDetetive, also got hacked; Spyhide, which had a vulnerability in its code that allowed a hacker to access the back-end databases and years of stolen around 60,000 victims’ data; Oospy, which was a rebrand of Spyhide, shut down for a second time; and the latest mSpy hack, which is unrelated to the previously mentioned leak.
Finally there is TheTruthSpy, a network of stalkerware apps, which holds the dubious record of having been hacked or having leaked data on at least three separate occasions.
Hacked, but unrepented
Of these 20 stalkerware companies, eight have shut down, according to TechCrunch’s tally.
In a first and so far unique case, the Federal Trade Commission banned SpyFone and its chief executive, Scott Zuckerman, from operating in the surveillance industry following an earlier security lapse that exposed victims’ data. Another stalkerware operation linked to Zuckerman, called SpyTrac, subsequently shut down following a TechCrunch investigation.
PhoneSpector and Highster, another two companies that are not known to have been hacked, also shut down after New York’s attorney general accused the companies of explicitly encouraging customers to use their software for illegal surveillance.
But a company closing doesn’t mean it’s gone forever. As with Spyhide and SpyFone, some of the same owners and developers behind a shuttered stalkerware maker simply rebranded.
“I do think that these hacks do things. They do accomplish things, they do put a dent in it,” Galperin said. “But if you think that if you hack a stalkerware company, that they will simply shake their fists, curse your name, disappear in a puff of blue smoke and never be seen again, that has most definitely not been the case.”
“What happens most often, when you actually manage to kill a stalkerware company, is that the stalkerware company comes up like mushrooms after the rain,” Galperin added.
There is some good news. In a report last year, security firm Malwarebytes said that the use of stalkerware is declining, according to its own data of customers infected with this type of software. Also, Galperin reports seeing an increase in negative reviews of these apps, with customers or prospective customers complaining they don’t work as intended.
But, Galperin said that it’s possible that security firms aren’t as good at detecting stalkerware as they used to be, or stalkers have moved from software-based surveillance to physical surveillance enabled by AirTags and other Bluetooth-enabled trackers.
“Stalkerware does not exist in a vacuum. Stalkerware is part of a whole world of tech enabled abuse,” Galperin said.
Say no to stalkerware
Using spyware to monitor your loved ones is not only unethical, it’s also illegal in most jurisdictions, as it’s considered unlawful surveillance.
That is already a significant reason not to use stalkerware. Then there is the issue that stalkerware makers have proven time and time again that they cannot keep data secure — neither data belonging to the customers nor their victims or targets.
Apart from spying on romantic partners and spouses, some people use stalkerware apps to monitor their children. While this type of use, at least in the United States, is legal, it doesn’t mean using stalkerware to snoop on your kids’ phone isn’t creepy and unethical.
Even if it’s lawful, Galperin thinks parents should not spy on their children without telling them, and without their consent.
If parents do inform their children and get their go-ahead, parents should stay away from insecure and untrustworthy stalkerware apps, and use parental tracking tools built into Apple phones and tablets and Android devices that are safer and operate overtly.
Updated on July 16 to include mSpy as the latest spyware to be breached.
If you or someone you know needs help, the National Domestic Violence Hotline (1-800-799-7233) provides 24/7 free, confidential support to victims of domestic abuse and violence. If you are in an emergency situation, call 911. The Coalition Against Stalkerware has resources if you think your phone has been compromised by spyware.
[ad_2]
