“Leader mondiale nel campo delle soluzioni di monitoraggio, in grado di soddisfare ogni esigenza del cliente per questioni di sicurezza e di praticità”, così mSpy si presenta sulla homepage del proprio sito ufficiale. Un’offerta rivolta a chi ha esigenza o desiderio di controllare l’attività e le conversazioni dei propri figli o dei propri partner. Uno spyware commerciale, per dirla in altri termini, protagonista di un leak che espone i dati personali dei suoi utenti.
mSpy, un altro leak
A parlarne è la redazione del sito TechCrunch, che riporta la notizia fornendo dettagli sull’entità e la portata dell’attacco messo a segno tra il 4 e il 5 settembre: due milioni di account interessati dall’hack. Per una bizzarra sorta di boomerang karmico, a rimetterci sono gli stessi utenti che hanno scelto di affidarsi a mSpy per sbirciare gli altri dal buco della serratura. Qualcosa di molto simile era accaduto nel 2015, con l’azienda che per un’intera settimana aveva negato la violazione, salvo poi doverla ammettere apertamente.
Il primo ad accedere al database è stato il bug hunter Nitish Shah, che immediatamente dopo aver effettuato la scoperta l’ha segnalata ai responsabili della società. L’archivio è però rimasto accessibile per alcune ore e, nonostante la successiva rimozione, non sembra difficile reperirne una copia online. Così commenta l’accaduto il ricercatore Brian Krebs:
Prima che fosse messo offline nelle ore scorse, il database conteneva milioni di record, inclusi gli username, le password e le chiavi crittografiche private di ogni cliente mSpy autenticato al sito o che ha acquistato una licenza del software negli ultimi sei mesi.
Tra le caratteristiche promesse da mSpy v’è la possibilità di monitorare le chat di WhatsApp, le conversazioni di Facebook e altre applicazioni di messaggistica, i contenuti condivisi tramite Snapchat così come gli SMS, la cronologia delle telefonate e gli spostamenti mediante geolocalizzazione. Il tutto, ovviamente, all’insaputa di chi è oggetto dell’attività di controllo. Il leak del database, paradossalmente, offre a chi spiato l’opportunità di sapere se il proprio partner (o genitore) è tra coloro che hanno scelto di affidarsi al software.
Spyware mSpy for 2nd time failed to protect its iPhone and Android clients.
On their server was found open database with millions of users records including passwords, Facebook and WhatsApp messages, iCloud… via @briankrebs & @IamNitishShah https://t.co/t1Ew2nhZOd pic.twitter.com/0I5zzEsnrc
— Lukas Stefanko (@LukasStefanko) September 5, 2018