Una violazione dei dati nell'operazione di sorveglianza telefonica mSpy ha esposto milioni dei suoi clienti che hanno acquistato accesso all'applicazione spyware per telefoni nell'ultimo decennio, così come l'azienda ucraina dietro di essa.
Attaccanti sconosciuti hanno rubato milioni di ticket di supporto clienti, inclusi informazioni personali, email di supporto e allegati, tra cui documenti personali, da mSpy nel maggio 2024. Sebbene gli attacchi ai fornitori di spyware stiano diventando sempre più comuni, rimangono notevoli a causa delle informazioni personali altamente sensibili spesso incluse nei dati, in questo caso sui clienti che utilizzano il servizio.
L'hack ha coinvolto record del servizio clienti risalenti al 2014, rubati dal sistema di supporto clienti di mSpy alimentato da Zendesk.
mSpy è un'applicazione di sorveglianza telefonica che si promuove come un modo per monitorare i bambini o controllare i dipendenti. Come la maggior parte degli spyware, è ampiamente utilizzato anche per monitorare le persone senza il loro consenso. Questi tipi di app sono anche conosciuti come “stalkware” perché le persone in relazioni romantiche spesso li utilizzano per sorvegliare il partner senza consenso o autorizzazione.
L'app mSpy consente a chiunque abbia installato lo spyware, tipicamente qualcuno che ha avuto accesso fisico al telefono di una vittima, di visualizzare a distanza i contenuti del telefono in tempo reale.
Come avviene comunemente con gli spyware per telefoni, i record dei clienti di mSpy includono email di persone che cercano aiuto per tracciare surrettiziamente i telefoni dei loro partner, parenti o figli, secondo la revisione dei dati di TechCrunch, che abbiamo ottenuto indipendentemente. Alcune di quelle email e messaggi includono richieste di supporto clienti da vari dirigenti di alto rango delle forze armate statunitensi, un giudice di corte d'appello federale statunitense in servizio, un organo di vigilanza del governo statunitense e un ufficio dello sceriffo della contea dell'Arkansas in cerca di una licenza gratuita per provare l'app.
Anche dopo aver raccolto diversi milioni di ticket di servizio clienti, si ritiene che i dati trapelati da Zendesk rappresentino solo una parte della base clienti complessiva di mSpy che ha contattato il supporto clienti. Il numero di clienti di mSpy è probabilmente molto più alto.
Eppure, più di un mese dopo la violazione, i proprietari di mSpy, un'azienda con sede in Ucraina chiamata Brainstack, non hanno riconosciuto o reso pubblica la violazione.
Troy Hunt, che gestisce il sito di notifica delle violazioni dei dati Have I Been Pwned, ha ottenuto una copia dell'intero dataset trapelato, aggiungendo circa 2,4 milioni di indirizzi email unici dei clienti di mSpy al catalogo delle violazioni passate del suo sito.
Hunt ha detto a TechCrunch che ha contattato diversi abbonati di Have I Been Pwned con informazioni dai dati trapelati, che gli hanno confermato che i dati trapelati erano accurati.
mSpy è stata l'ultima operazione di spyware per telefoni degli ultimi mesi ad essere stata hackerata, secondo un elenco recentemente compilato da TechCrunch. La violazione di mSpy dimostra ancora una volta che i produttori di spyware non possono essere considerati affidabili nel mantenere sicuri i loro dati, sia quelli dei clienti che delle vittime.
Milioni di messaggi dei clienti di mSpy
TechCrunch ha analizzato il dataset trapelato - più di 100 gigabyte di record Zendesk - che conteneva milioni di singoli ticket di assistenza clienti e i rispettivi indirizzi email, nonché i contenuti di quelle email.
Alcuni degli indirizzi email appartengono a vittime inconsapevoli che sono state mirate da un cliente di mSpy. I dati mostrano anche che alcuni giornalisti hanno contattato l'azienda per commentare a seguito dell'ultima violazione nota dell'azienda nel 2018. E, in diverse occasioni, agenti dell'ordine statunitensi hanno presentato o cercato di presentare citazioni e richieste legali con mSpy. In un caso a seguito di un breve scambio di email, un rappresentante di mSpy ha fornito le informazioni di fatturazione e indirizzo su un cliente di mSpy - un presunto sospetto criminale in un caso di sequestro e omicidio - a un agente dell'FBI.
Ogni ticket nel dataset conteneva un insieme di informazioni sulle persone che contattavano mSpy. In molti casi, i dati includevano anche la loro posizione approssimativa in base all'indirizzo IP del dispositivo del mittente.
TechCrunch ha analizzato dove si trovavano i clienti che contattavano mSpy estraendo tutte le coordinate di posizione dal dataset e tracciando i dati in un tool di mappatura offline. I risultati mostrano che i clienti di mSpy sono situati in tutto il mondo, con grandi cluster in Europa, India, Giappone, America del Sud, Regno Unito e Stati Uniti.
Acquistare spyware non è di per sé illegale, ma vendere o utilizzare spyware per spiare qualcuno senza il loro consenso è illegale. Gli accusatori statunitensi hanno incriminato i produttori di spyware in passato, e le autorità federali e i guardalinee statali hanno vietato alle aziende di spyware l'industria della sorveglianza, citando i rischi per la sicurezza informatica e la privacy che lo spyware comporta. Anche i clienti che installano spyware possono essere perseguiti per violazione delle leggi sull'intercettazione di comunicazioni.
Le email nei dati trapelati di Zendesk mostrano che mSpy e i suoi operatori sono acutamente consapevoli di come i clienti utilizzino lo spyware, inclusa la monitoraggio dei telefoni senza il consenso della persona. Alcune delle richieste citano clienti che chiedono come rimuovere mSpy dal telefono del loro partner dopo che il coniuge ha scoperto tutto. Il dataset solleva anche interrogativi sull'uso di mSpy da parte di funzionari e agenzie governative statunitensi, dipartimenti di polizia e giudici, poiché non è chiaro se l'uso dello spyware seguisse un processo legale.
Secondo i dati, uno degli indirizzi email riguarda Kevin Newsom, un giudice d'appello in servizio per la Corte d'Appello del Circuito Undicesimo attraverso Alabama, Georgia e Florida, che ha utilizzato il suo indirizzo email ufficiale del governo per richiedere un rimborso a mSpy.
Kate Adams, direttore delle relazioni sul lavoro per la Corte d'Appello dell'Undicesimo Circuito, ha detto a TechCrunch: 'L'uso del giudice Newsom era interamente a titolo personale per affrontare una questione familiare'. Adams ha rifiutato di rispondere a domande specifiche sull'uso di mSpy da parte del giudice o se l'oggetto della sorveglianza di Newsom abbia acconsentito.
Il dataset mostra anche interesse da parte delle autorità e delle forze dell'ordine statunitensi. Un'email da parte di un membro dello staff dell'Ufficio dell'Ispezione Generale dell'Amministrazione della Sicurezza Sociale, un organo di vigilanza incaricato del controllo dell'agenzia federale, ha chiesto a un rappresentante di mSpy se il guardalinee potesse 'utilizzare [mSpy] in alcune delle nostre indagini criminali', senza specificare come.
Quando contattato da TechCrunch, un portavoce dell'ispettore generale della Sicurezza Sociale non ha commentato il motivo per cui il membro dello staff ha chiesto informazioni su mSpy per conto dell'agenzia.
Il dipartimento dello sceriffo della contea dell'Arkansas ha richiesto prove gratuite di mSpy, presumibilmente per offrire dimostrazioni del software ai genitori del quartiere. Quel sergente non ha risposto a una domanda di TechCrunch su se fosse autorizzato a contattare mSpy.
L'azienda dietro mSpy
Questa è la terza violazione dei dati di mSpy nota dall'inizio dell'azienda intorno al 2010. mSpy è una delle operazioni di spyware per telefoni più longeve, il che in parte spiega come abbia accumulato così tanti clienti.
Nonostante le sue dimensioni e portata, gli operatori di mSpy sono rimasti nascosti alla vista del pubblico e hanno in gran parte evitato l'attenzione - fino ad ora. Non è raro che i produttori di spyware nascondano le identità reali dei loro dipendenti per proteggere l'azienda dai rischi legali e reputazionali associati alla gestione di un'operazione globale di sorveglianza telefonica, illegale in molti paesi.
Ma la violazione dei dati di Zendesk di mSpy ha esposto la sua azienda madre come una società tecnologica ucraina chiamata Brainstack.
Il sito web di Brainstack non menziona mSpy. Come le sue offerte di lavoro pubbliche aperte, Brainstack fa riferimento solo al suo lavoro su un’applicazione di ‘controllo genitoriale’ non specificata. Ma il dump di dati interni di Zendesk mostra che Brainstack è ampiamente e intimamente coinvolto nelle operazioni di mSpy.
Nel dataset trapelato di Zendesk, TechCrunch ha trovato record contenenti informazioni su decine di dipendenti con indirizzi email di Brainstack. Molti di questi dipendenti erano coinvolti nel supporto clienti di mSpy, come rispondere alle domande dei clienti e alle richieste di rimborsi.
I dati trapelati di Zendesk contengono i veri nomi e in alcuni casi i numeri di telefono dei dipendenti di Brainstack, nonché i falsi nomi che usavano quando rispondevano ai ticket dei clienti di mSpy per nascondere le proprie identità.
Quando contattati da TechCrunch, due dipendenti di Brainstack hanno confermato i loro nomi come trovati nei record trapelati, ma hanno declinato di discutere del loro lavoro con Brainstack.
Il CEO di Brainstack Volodymyr Sitnikov e il senior executive Kateryna Yurchuk non hanno risposto a molteplici email che chiedevano un commento prima della pubblicazione. Invece, un rappresentante di Brainstack, che non ha fornito il suo nome, non ha contestato le nostre informazioni ma ha rifiutato di fornire risposte a una serie di domande per gli esecutivi della società.
Non è chiaro come l'istanza di Zendesk di mSpy sia stata compromessa o da chi. La violazione è stata prima divulgata dall'hacker con sede in Svizzera maia arson crimew, e i dati sono stati successivamente resi disponibili a DDoSecrets, un collettivo di trasparenza no profit che indicizza dataset trapelati nell'interesse pubblico.
Contattata per un commento, la portavoce di Zendesk Courtney Blake ha detto a TechCrunch: 'Al momento, non abbiamo prove che Zendesk abbia subito una compromissione della sua piattaforma', ma non ha detto se l'uso di Zendesk da parte di mSpy per supportare le sue operazioni di spyware violasse i suoi termini di servizio.
'Ci impegniamo a rispettare la nostra politica sul contenuto e sul comportamento degli utenti e investigare le accuse di violazioni appropriatamente e in conformità con le nostre procedure stabilite', ha detto il portavoce.
Se tu o qualcuno che conosci ha bisogno di aiuto, la National Domestic Violence Hotline (1-800-799-7233) fornisce supporto gratuito e confidenziale 24 ore su 24 alle vittime di abusi e violenze domestiche. Se ti trovi in una situazione di emergenza, chiama il 911. La Coalition Against Stalkerware dispone di risorse se pensi che il tuo telefono sia stato compromesso da uno spyware.
