Dopo quelli del 2015 e del 2018, mSpy ha subito un terzo data breach. Come indicato sul sito Have I Been Pwned di Troy Hunt sono finiti online i dati di circa 2,4 milioni di clienti. Ignoti hacktivisti sono riusciti ad accedere al sistema di supporto clienti che usa il software Zendesk.
Monitoraggio remoto o spyware?
Cercando mSpy su Google viene mostrato un link con il titolo “Come spiare un cellulare da remoto“. Nella home page del sito è scritto invece che si tratta della migliore app di monitoraggio per il controllo parentale. Le funzionalità offerte sono quelle per il controllo remoto dei dispositivi, ma l’app è anche simile ad uno spyware. La licenza d’uso sottolinea che deve essere chiesto il consenso per l’installazione su altri dispositivi.
La software house ucraina (Brainstack) che sviluppa mSpy utilizza Zendesk per il supporto clienti. Sfruttando probabilmente una vulnerabilità sono stati rubati i dati di circa 2,4 milioni di utenti. L’intrusione non autorizzata è avvenuta a maggio. Nel database ci sono 142 GB di informazioni sensibili e 176 GB di allegati alle richieste di supporto (ticket).
Oltre agli indirizzi email sono presenti dati finanziari e gli indirizzi IP dei dispositivi, dai quali si può ricavare la posizione geografica approssimata. Analizzando le email, TechCrunch ha scoperto che tra i clienti ci sono anche un giudice, forze di polizia e autorità governative.
Nel database sono presenti inoltre indirizzi email, nomi reali e numeri di telefono di alcuni dipendenti di Brainstack che si occupano del supporto clienti. La software house ucraina non ha risposto alle richieste di informazioni sull’accaduto.