Журналисты Vice Motherboard рассказали, что на связь с изданием вышел хакер L.M., еще в феврале текущего года взломавший компанию TheTruthSpy, которая разрабатывает шпионские продукты для рядовых пользователей (так называемую stalkerware).

TheTruthSpy — один из крупных представителей на рынке такой спайвари, и компания открыто рекламирует свои шпионские приложения для Android и iOS, явно ориентируя их на инициаторов бытового насилия. Так, реклама компании предлагает мужьям и женам установить слежку за «лучшей половиной», уличив ее в неверности, и лишь получив доказательства, переходить к прямой конфронтации. При этом подчеркивается, что слежка будет «незаметной и тихой».

Сообщение в блоге TheTruthSpy

L.M. сообщил изданию, что ему удалось отреверсить Android-приложение TheTruthSpy и обнаружить в нем уязвимость. После этого хакер проник на медиасервер компании, где обнаружил уникальные ID клиентов, использовавшиеся для аудиофайлов, формат которых выглядел как «номер_телефона_ID_дата_время». L.M. объяснил, что тогда они запрашивали учетные данные пользователя, посылая ID на серверы компании с помощью веб-запроса, который возвращал имя пользователя и пароль в виде простого текста. Создав скрипт для автоматизации сбора данных, хакер сумел собрать учетные данные всех клиентов компании.

В итоге в распоряжении L.M. оказались логины, пароли, фотографии и аудиозаписи, текстовые сообщения, данные о местоположении и логи чатов в социальных сетях, полученные с устройств, пострадавших от слежки. В общей сложности он получил доступ более чем к 10 000 клиентских учетных записей. При этом выяснилось, что многие пользователи TheTruthSpy используют те же самые пароли для своих почтовых ящиков, аккаунтов PayPal, Amazon и так далее. Хакер признается, что для проверки вошел в несколько таких учетных записей, однако не стал вредить или похищать средства.

«Я контролирую всех жертв во всем мире. У меня админский доступ к серверам, — признался взломщик, выйдя на контакт с изданием. — Они позаботились о том, как шпионить, но не позаботились о том, как защитить приватность атакующих и их жертв».

После того как L.M. поделился с журналистами именами пользователей и паролями некоторых пользователей, журналистам удалось верифицировать утечку и подтвердить подлинность данных. Так, журналисты пытались создать новые аккаунты TheTruthSpy, используя имеющиеся в их распоряжении email-адреса пострадавших. В большинстве случаев сайт TheTruthSpy сообщил, что аккаунт с таким почтовым ящиком уже существует.

«Эти данные очень опасны. Вы можете узнать всё о любом человеке, а также о личности атакующего. Очень легко заняться вымогательством и заработать много грязных денег. Любой black hat может вы**ать их и превратить их жизнь в ад», — говорит хакер.

L.M. признает, что недавно лишился доступа к серверам TheTruthSpy (после установки некоего обновления). Хотя представители Vice Motherboard многократно пытались связаться с компанией, ответа на свои запросы журналисты так и не получили.

Издание отмечает, что эту уже седьмой производитель спайвари для массового пользования, скомпрометированный за последние два года.

Также стоит сказать, что журналисты не зря называют деятельность компании TheTruthSpy крайне спорной. Дело в том, что в США продавать и рекламировать подобное ПО для наблюдения за детьми или сотрудниками – это не преступление. Однако ориентировать подобные решения на взрослых людей, которые с их помощью будут следить за другими взрослыми людьми, это нарушение закона. Так, в 2014 году из-за этого был арестован глава компании StealthGenie, которая так же производила спайварь, открыто ориентированную на абьюзеров.

Оставить мнение