Брайан Кребс (Brian Krebs), эксперт по ИБ и автор блога KrebsOnSecurity, сообщил об утечке, затронувшей миллионы человек по всему миру. В открытом доступе оказались данные интернет-сервиса mSpy, который предоставляет в аренду средства слежки за пользователями мобильных устройств.

Кребс узнал об инциденте от независимого исследователя Нитиша Шаха (Nitish Shah). Тот обнаружил в Интернете обновляемую в реальном времени базу с личными данными объектов шпионажа: перепиской в WhatsApp и Facebook, журналами телефонных звонков, списками контактов и геолокацией. Найденные в хранилище пароли к аккаунтам iCloud и аутентификационные токены открывали доступ к резервным копиям владельцев iOS-устройств. Эксперт подчеркнул, что для просмотра материалов не требовалась аутентификация.

Помимо этого, посетители могли просматривать учетные данные и закрытые ключи шифрования пользователей, которые в последние полгода авторизовались на сайте сервиса или приобретали лицензию продукта. По словам Шаха, эта информация позволяет любому желающему отслеживать местоположение устройств с приложением mSpy. Прочие сведения включали журналы посещений сайта и проведенных транзакций, вплоть до сумм платежей.

Шах обратился в службу онлайн-поддержки mSpy, однако оказался заблокирован, когда попросил связать его с техническим директором или главой службы безопасности. Кребсу, который также написал компании, пришлось ждать ответа около недели. Все это время база оставалась в открытом доступе.

Руководитель по безопасности mSpy, который представился просто как «Эндрю», сообщил, что все аккаунты их пользователей надежно защищены, и поблагодарил эксперта за помощь в предотвращении «возможной» утечки. По его словам, угрозе подверглись «некоторые электронные адреса и, возможно, какие-то другие данные». Представитель компании отметил, что сотрудники не обнаружили значительных манипуляций с конфиденциальной информацией.

Кребс напомнил, что это не первый подобный инцидент в истории mSpy. В мае 2015-го ресурс уже подвергался взлому, в результате чего пользовательские данные попали в дарквеб. Тогда представители компании также отрицали, что был взлом, несмотря на скриншоты опубликованных материалов, которые им присылали сами клиенты. Неделю спустя сервис признал утечку, обвинив в атаке неких шантажистов, мстивших mSpy за нежелание платить выкуп.

В комментариях к посту эксперта пользователи отметили, что организация действует в европейской юрисдикции, поэтому обязана выполнять требования Общего регламента по защите данных (General Data Protection Regulation, GDPR). Новый европейский закон, который вступил в силу в мае 2018 года, предусматривает штраф в размере до 20 млн евро или 4% годового оборота компании за некорректное обращение с конфиденциальной информацией клиентов.

Это уже вторая за две недели утечка, связанная с приложениями для слежки. Ранее некорректная настройка облачного хранилища привела к публикации данных пользователей Spyfone. В открытый доступ попала личная информация нескольких тысяч человек.

Категории: Другие темы