Um hacktivista coletou mais de meio milhão de registros de pagamentos de um fornecedor de aplicativos de vigilância telefônica “stalkerware” para consumidores, expondo os endereços de e-mail e informações parciais de pagamento de clientes que pagaram para espionar outras pessoas.
As transações contêm registros de pagamentos de serviços de rastreamento telefônico como Geofinder e uMobix, bem como serviços como Peekviewer (anteriormente Glassagram), que pretende permitir acesso a contas privadas do Instagram, entre vários outros aplicativos de monitoramento e rastreamento fornecidos pelo mesmo fornecedor, uma empresa ucraniana chamada Struktura.
Os dados do cliente também incluem registros de transações do Xnspy, um conhecido aplicativo de vigilância telefônica, que em 2022 divulgou os dados privados de dezenas de milhares de dispositivos Android e iPhones de pessoas inocentes.
Este é o exemplo mais recente de um fornecedor de vigilância que expõe as informações dos seus clientes devido a falhas de segurança. Nos últimos anos, dezenas de aplicativos de stalkerware foram hackeados ou conseguiram perder, vazar ou expor dados privados de pessoas – muitas vezes as próprias vítimas – graças à má segurança cibernética dos operadores de stalkerware.
Contate-nos
Para entrar em contato com Zack Whittaker com segurança, entre em contato através do nome de usuário do Signal zackwhittaker.1337. Entre em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou e-mail.
Aplicativos de stalkerware como uMobix e Xnspy, uma vez instalados no telefone de alguém, carregam os dados privados da vítima, incluindo registros de chamadas, mensagens de texto, fotos, histórico de navegação e dados precisos de localização, que são então compartilhados com a pessoa que plantou o aplicativo.
Aplicativos como UMobix e Xnspy comercializaram explicitamente seus serviços para que pessoas espionem seus cônjuges e parceiros domésticos, o que é ilegal.
Os dados, vistos pelo TechCrunch, incluíam cerca de 536.000 linhas de endereços de e-mail de clientes, qual aplicativo ou marca o cliente pagou, quanto pagou, o tipo de cartão de pagamento (como Visa ou Mastercard) e os últimos quatro dígitos do cartão. Os registros do cliente não incluíam datas de pagamentos.
O TechCrunch verificou que os dados eram autênticos pegando vários registros de transações contendo endereços de e-mail descartáveis com caixas de entrada públicas, como o Mailinator, e executando-os através dos vários portais de redefinição de senha fornecidos pelos vários aplicativos de vigilância. Ao redefinir as senhas das contas associadas a endereços de e-mail públicos, determinamos que se tratava de contas reais.
Também verificamos os dados comparando o número exclusivo da fatura de cada transação do conjunto de dados vazado com as páginas de checkout do fornecedor de vigilância. Pudemos fazer isso porque a página de checkout nos permitiu recuperar os mesmos dados do cliente e da transação do servidor sem a necessidade de uma senha.
O hacktivista, que atende pelo apelido de “wikkid”, disse ao TechCrunch que extraiu os dados do fornecedor de stalkerware graças a um bug “trivial” em seu site. O hacktivista disse que “se diverte mirando em aplicativos usados para espionar pessoas” e posteriormente publicou os dados extraídos em um conhecido fórum de hackers.
A lista do fórum de hackers lista o fornecedor de vigilância como Ersten Group, que se apresenta como uma startup de desenvolvimento de software com apresentação no Reino Unido.
O TechCrunch encontrou vários endereços de e-mail no conjunto de dados usado para testes e suporte ao cliente, em vez de referência à Struktura, uma empresa ucraniana que possui um site idêntico ao Ersten Group. O registro mais antigo do conjunto de dados continha o endereço de e-mail da presidente-executiva da Struktura, Viktoriia Zosim, para uma transação de US$ 1.
Os representantes do Ersten Group não responderam aos nossos pedidos de comentários. Zosim, do Struktura, não respondeu a um pedido de comentário.
