Empresa que faz software para stalkear pessoas vazou milhões de dados de espiões e espionados

A mSpy, uma companhia que vende softwares feitos para permitir que pessoas monitorem seus filhos, parceiros ou qualquer outra pessoa, expôs mais de 2 milhões de dados “incluindo compras de software, nomes de usuários do iCloud e tokens de autenticação de dispositivos rodando o mSpy”, segundo noticia o TechCrunch.

• App fitness libera dados “anônimos” e acaba revelando bases militares no mundo todo
• Pendrive digno de filme de espião se autodestrói depois de injetar malware

A companhia vende seu produto como “software de monitoramento de controle parental”. No entanto, é parte de uma família maior de apps espiões que já atraiu a atenção de autoridades no passado — em 2014, o empresário paquistanês Hammad Akbar foi acusado e posteriormente culpado por vender e anunciar equipamentos de escuta telefônica. Embora os termos de uso do mSpy mencionem que o software não pode ser usado para fins ilegais, existem evidências de que muitos usuários compram a assinatura para propósitos específicos, o que faz com que alguns se refiram a esse tipo de software como “stalkerware” (um software feito para stalkear as pessoas).

O vazamento do banco de dados foi noticiado primeiro pelo desenvolvedor Nitish Shah, mencionado pelo pesquisador de segurança Brian Krebs em seu blog. A base de dados não exigia autenticação e “permitia que qualquer um consultasse registros nos dados da mSpy tanto para transações de consumidores no site da mSpy como de dados de telefonia coletados pelo software da mSpy”, escreveu Krebs.

O acesso à base de dados foi então restringido após Krebs entrar em contato com o pessoal da mSpy. No entanto, de acordo com capturas de tela postadas no site do pesquisador de segurança, qualquer um que descobriu a brecha poderia acessar registros de chamada, mensagens, histórico de navegação, nomes de usuários do iCloud, tokens de autenticação e mensagens do WhatsApp e Facebook de pessoas que tinham o software da mSpy rodando no smartphone. Os dados internos da mSpy “incluíam detalhes de transações de licenças compradas do mSpy nos últimos seis meses, incluindo nome do consumidor, endereço de e-mail e a quantia paga”, afirmou Krebs.

Ou seja, nem a pessoa que comprou o software para espiar ficou incólume com o vazamento.

Em um e-mail ao pesquisador de segurança Krebs, um funcionário da mSpy que se identificou como chefe de segurança da mSpy reconheceu a brecha, mas disse que as contas de consumidores estavam “seguramente encriptadas” e que apenas um pequeno número de pessoas tinha acesso a esses dados.

Não é a primeira vez que a mSpy sofre vazamento de dados. Em 2015, em um espaço de semanas, o serviço relatou duas brechas de segurança.

[TechCrunch/Krebs on Security]

Imagem do topo: Getty Images