Истина где-то ниже
Август 27, 2018

Шпионский сервис допустил утечку данных

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Терабайты данных, собранных шпионским приложением Spyfone, оказались доступны всем желающим из-за неправильной настройки облачного хранилища. Об этом на прошлой неделе рассказал сайту Motherboard пожелавший остаться неизвестным ИБ-специалист. Скомпрометированными оказались фотографии, видео, переписка и адреса электронной почты тысяч людей.

Сервис Spyfone предлагает своим клиентам приложение для слежки за владельцами мобильных устройств. Программа, установленная на смартфон, отправляет в личный кабинет абонента данные об активности пользователя, например текстовые сообщения, фотографии и историю браузера. Компания позиционирует свое решение как средство родительского контроля, однако не исключает и других вариантов его применения.

Как сообщает Motherboard, скомпрометированные данные хранились в аккаунте Spyfone облачного сервиса Amazon S3. В распоряжении эксперта оказались сведения, собираемые с более чем 3,5 тыс. телефонов в интересах 2,2 тыс. клиентов компании. По словам ИБ-специалиста, в хранилище содержатся несколько терабайт фото и видеоматериалов, а также почти 45 тыс. адресов электронной почты.

Для того чтобы проверить полученную информацию, журналисты Motherboard установили приложение Spyfone на свой смартфон и сделали им несколько снимков. Через некоторое время фото действительно попали на скомпрометированный сервер.

Разработчик шпионского ПО также не закрыл паролем доступ к системе управления своим сайтом. Как утверждает эксперт, он мог создать на сервере аккаунт администратора и управлять личными сведениями подписчиков сервиса.

Взломщик считает себя этичным хакером и заявляет, что действует в интересах безопасности пользователей. Представители Spyfone признали наличие бреши и выразили готовность наградить исследователя.

Более того, Spyfone оставил полностью незащищенным один из своих API. Любой, кто знал его URL, мог получить доступ к базе данных клиентов компании и узнать их имена, фамилии, адреса электронной почты и IP.

В феврале стало известно о взломе сервера компании Retina-X Studios, которая также производит ПО для наблюдения за смартфонами. Инцидент произошел уже во второй раз, и в обоих случаях ответственность взял на себя анонимный хакер. Специалист проникал в базу данных разработчика и уничтожал собранную там информацию, защищая людей, ставших объектом слежки.

Источник: https://threatpost.ru/spyware-app-leaked-user-data/27908/