Sommario:
Fai attenzione alle applicazioni che promettono di aiutarti a spiare i tuoi cari, perché possono portare a rane. L'app di spionaggio per genitori MSpy ha fatto trapelare informazioni private degli utenti in un database aperto L'informazione è stata fornita da Brian Krebs, un giornalista esperto di sicurezza informatica.
È la storia del cacciatore braccato. E non è la prima volta che accade, ma la seconda in soli tre anni. L'applicazione, che in linea di principio aiuta gli utenti (previo pagamento, ovviamente) a spiare i dispositivi dei propri figli, o anche dei dipendenti, ha rilasciato un pacchetto con milioni di dati relativi a registri chiamate, sms, contatti, note e dati sulla posizione.
Le informazioni che sono state divulgate fanno parte delle compilazioni effettuate segretamente in tutti quei telefoni che avevano installato il famoso spyware. I log di mSpy potevano essere consultati nella loro interezza, senza bisogno di autenticarsi.
Cinque milioni di record con informazioni private
Dopo aver scoperto la falla, sono stati rilevati non più e non meno di cinque milioni di record con informazioni private sugli utenti. Secondo questo ricercatore, i dati contenuti in questo database sono nomi utente, password e chiavi di crittografia private per ciascuno dei clienti del servizio.
E questi sono tutti i clienti che hanno effettuato l'accesso a mSpy o acquistato una licenza per utilizzare il servizio negli ultimi sei mesi.Queste chiavi di crittografia, che sono completamente private, consentivano a chiunque di tracciare la posizione dei dispositivi, oltre a visualizzare altri importanti dettagli privati, su tutti i computer che avevano l'app installata. Ecco la gravità della questione.
Ma sfortunatamente, questi non sono gli unici dati che mSpy ha fatto trapelare dagli utenti che sono mai stati collegati a questa applicazione (spiando o essendo spiati). Secondo i responsabili di questa indagine, tra i dati divulgati ci sono i nomi utente e le autenticazioni di Apple iCloud, utilizzati dai dispositivi con mSpy installato. Inoltre, vengono annotati anche i riferimenti ai file di backup di iCloud.
Cosa significa in termini pratici? Ebbene, qualsiasi persona esperta che abbia avuto accesso a questi dati sarà in grado di accedere ai messaggi di WhatsApp e Facebook inclusi nei dispositivi mobili su cui è installato mSpy .
Include, invece, i dati sulle transazioni effettuate da mSpy le licenze acquisite negli ultimi mesi. I nomi dei clienti, gli indirizzi e-mail, gli indirizzi postali e gli importi pagati per il servizio sono specificati qui. E dobbiamo aggiungere (sembra che l'elenco delle lamentele non finisca) le informazioni sui browser utilizzati e gli indirizzi Internet collegati agli utenti.
La reazione di mSpy alle fughe di notizie
Sfortunatamente, la prima reazione dei gestori di mSpy è stata quella di evitare conversazioni con questo esperto. KrebsOnSecurity li ha messi in allerta e tutto quello che ha ottenuto è stato un blocco, anche se aveva chiesto di parlare con il capo della sicurezza dell'azienda.
Pochi giorni dopo, e dopo aver avvisato l'azienda del leak il 30 agosto, la persona incaricata di segnalare il leak ha ricevuto un'e-mail da un certo Andrew, capo della sicurezza di mSpy, che lo ringraziava edicendogli che avevano impedito una violazione dei dati molto più grandeIn quella stessa e-mail hanno indicato all'esperto di aver trovato alcuni punti di accesso non autorizzati. Il responsabile di KrebsOnSecurity ha visto le prove del proprio accesso in quei punti.
