mSpy公司近期遭遇严重的数据泄露事件,导致数百万客户的敏感信息曝光。攻击者从其客户支持系统Zendesk中窃取了包括个人信息、电子邮件和附件在内的大量数据,涵盖了从2014年以来的客户记录。mSpy是一款手机监控应用,通常被用于未经授权地监视他人,引发了对隐私和法律合规性的广泛担忧。泄露的数据不仅涉及普通消费者,还包括了一些高级别的美国官员和执法部门,暴露了他们在未经同意情况下可能使用此类间谍软件的问题。背后的乌克兰公司Brainstack未公开承认这一事件,这次泄露揭示了其实际运营的复杂性和安全漏洞。尽管涉及大规模客户服务记录的泄露,mSpy及其母公司在面对数据安全挑战时仍显得脆弱不堪。
2024年5月,电话监控公司mSpy遭遇了一次严重的数据泄露事件,该事件导致过去十年间购买该公司手机间谍软件应用程序的数百万客户的个人信息及其背后的乌克兰公司机密信息被暴露。在这次事件中,未知攻击者窃取了数百万张客户支持票据,这些票据包含了个人信息、发送给客户支持的电子邮件以及附件,其中可能包括个人文件。值得注意的是,这些数据中包含了大量高度敏感的个人信息,这不仅涉及到了使用该服务的客户,还可能涉及到被监控的不知情受害者。
此次泄露的数据可追溯至2014年,来源于mSpy使用的Zendesk客户支持系统中。尽管黑客攻击间谍软件供应商的事件日益频繁,但mSpy的这次数据泄露因其规模之大和信息之敏感而备受关注。泄露的Zendesk数据不仅包含了客户服务单据,还有可能包括了客户的电子邮件地址、电子邮件内容以及根据发件人设备的IP地址确定的大致位置信息。这些信息的泄露无疑给客户的隐私安全带来了极大的威胁。
mSpy据库中位置数据点的可视化,显示其客户的大致位置。
mSpy是一款功能强大的手机监控应用程序,它公开宣称的主要使用场景是跟踪儿童或监视员工。然而,与大多数间谍软件一样,mSpy也被广泛用于未经同意的情况下监视他人,因此它也被称为“跟踪软件”。这类软件在恋爱关系中尤其常见,一些人可能会在未经伴侣同意的情况下使用它们进行监控。
mSpy的工作原理允许那些能够物理访问受害者手机的人植入间谍软件,并随后远程实时查看手机内容。这种软件的存在引发了广泛的隐私和法律问题,因为它可以在不被目标用户知晓的情况下收集和传输敏感信息。在美国,未经同意使用间谍软件进行监听是违法的,这可能会导致刑事指控。
mSpy的客户记录显示,使用该间谍软件的人群多种多样,包括寻求帮助秘密追踪其伴侣、亲戚或子女手机的人。在这次数据泄露中,一些电子邮件和消息的发送者包括美国高级军事人员、一名现任美国联邦上诉法院法官、美国政府部门的监督机构,以及寻求免费试用该应用程序的阿肯色州县治安官办公室。
比如,Zendesk泄露数据中的部分电子邮件显示,mSpy及其运营商非常清楚客户使用间谍软件的目的,包括在客户不知情的情况下监控手机。一些请求引用了客户在配偶发现后如何从伴侣的手机中删除mSpy的请求。该数据集还引发了人们对美国政府官员和机构、警察部门和司法部门使用mSpy的质疑,因为目前尚不清楚任何间谍软件的使用是否遵循了法律程序。根据数据显示,其中一个电子邮件地址属于凯文·纽瑟姆 (Kevin Newsom),他是美国第十一巡回上诉法院阿拉巴马州、佐治亚州和佛罗里达州的上诉法官,他使用其官方政府电子邮件向mSpy申请退款。
这些信息揭示了mSpy用户的复杂性,从普通消费者到政府官员和执法人员。然而,这次泄露也引发了对美国政府官员和机构使用mSpy的质疑,因为目前尚不清楚他们使用间谍软件是否遵循了法律程序。此外,一些不知情的受害者的电子邮件地址也在泄露的数据中被发现,这进一步凸显了间谍软件对个人隐私的潜在威胁。
这是mSpy自2010年左右公司成立以来发生的第三次已知数据泄露事件。mSpy是运营时间最长的手机间谍软件之一,这也是它积累如此多客户的原因之一。尽管mSpy规模庞大、覆盖范围广泛,但其运营者一直隐藏在公众视线之外,在很大程度上避开了审查——直到现在。间谍软件制造商隐瞒员工的真实身份以保护公司免受与开展全球电话监控行动相关的法律和声誉风险并不罕见,而这在许多国家都是非法的。但mSpy的Zendesk数据泄露暴露了其母公司是一家名为 Brainstack的乌克兰科技公司。Zendesk内部数据转储显示Brainstack广泛而密切地参与了mSpy的运营。
Brainstack是一家专注于科技的公司,但其网站并未提及mSpy。Brainstack在公开的招聘信息中只提到了其在未指定的“家长控制”应用程序上的工作,但泄露的Zendesk数据却显示了Brainstack与mSpy的密切联系。在泄露的数据中,TechCrunch发现了包含数十名Brainstack员工信息的记录,这些员工参与了mSpy的客户支持工作,如回复客户问题和处理退款请求。
Brainstack的首席执行官Volodymyr Sitnikov和高级主管Kateryna Yurchuk在本文发表前没有对此事发表评论。目前尚不清楚mSpy的Zendesk实例是如何被入侵的,也不清楚入侵者是谁。此次入侵事件最先由瑞士黑客maia arson crimew披露,随后数据被提供给DDoSecrets,这是一个非营利性透明组织,该组织为公众利益索引泄露的数据集。尽管Zendesk发言人表示没有证据表明Zendesk平台受到了攻击,但mSpy使用Zendesk支持其间谍软件操作是否违反了其服务条款仍不清楚。
经验教训
自2017年起,间谍软件行业便频繁遭受黑客攻击,暴露了其在数据保护方面的严重缺陷。美国公司Retina-X和泰国的FlexiSpy首先遭受攻击,随后是Mobistealth、Spy Master Pro、SpyHuman、SpyFone等,这些事件揭露了这些公司在全球范围内拥有超过130,000名客户。黑客们自豪地宣称对这些入侵负责,他们的目标是揭露并希望摧毁一个他们认为有毒和不道德的行业。他们希望通过这些攻击,让这些公司无处藏身,迫使他们反思自己的行为。尽管如此,一些公司如FlexiSpy依然运营至今,而Retina-X在经历连续攻击后不得不关闭。SpyFone因一次意外的数据泄露而备受关注,其在Amazon S3服务器上的存储桶未受保护,导致大量受害者的短信、照片、音频记录等敏感信息暴露于众。FamilyOrbit、mSpy、Xnore、Mobiispy、KidsGuard、pcTattletale和Xnspy等其他间谍软件公司也因数据保护不力或安全漏洞而泄露了大量客户和受害者的数据。这些事件不仅暴露了间谍软件在道德和法律上的争议,也凸显了其在数据安全方面的脆弱性。
尽管有公司因黑客攻击或法律诉讼而关闭,但间谍软件的问题并未完全消失。一些公司通过重新品牌或更名继续运营。安全专家和消费者权益倡导者呼吁,出于道德和法律的考虑,应拒绝使用间谍软件。使用这类软件不仅侵犯了被监控者的隐私权,而且在大多数司法管辖区是非法的。家长如果需要监控孩子的设备,应选择使用苹果和安卓设备中内置的安全、透明的家长控制工具,而不是不安全、不可信的间谍软件。同时,安全公司Malwarebytes的报告显示,根据其客户感染数据,间谍软件的使用正在下降,这表明社会对这类软件的认识和抵制正在增强。
参考资源
1、https://techcrunch.com/2024/07/11/mspy-spyware-millions-customers-data-breach/
3、https://techcrunch.com/2018/09/05/mobile-spyware-maker-leaks-2-million-records/
4、https://techcrunch.com/2024/05/31/hacked-leaked-exposed-why-you-should-stop-using-stalkerware-apps/
