Производитель шпионского ПО Spytech из Миннесоты, США, подвергся взлому, в результате которого выяснилось, что десятки тысяч устройств по всему миру находятся под скрытым удаленным наблюдением компании.
Информация о взломе поступила от человека, имеющего доступ к базе данных компании. Источник предоставилTechCrunch кэш файлов с серверов, содержащих детализированные логи активности устройств, телефонов, планшетов и компьютеров, которые отслеживаются Spytech, причем некоторые из файлов датированы еще началом июня. TechCrunch подтвердил подлинность данных, частично проанализировав журналы активности устройств, связанные с главным исполнительным директором компании Нейтаном Поленчеком, который установил шпионское ПО на одно из своих устройств.
Согласно полученной информации, шпионские программы Spytech – Realtime-Spy и SpyAgent – были использованы для компрометации более 10 000 устройств с 2013 года, включая Android-устройства, Chromebook, Mac и ПК на Windows по всему миру. Поленчек впервые узнал о взломе из письма TechCrunch и пока не обнаружил утечку данных, но начал расследование и пообещал принять соответствующие меры.
Spytech производит приложения удалённого доступа (stalkerware), которые продаются под видом программ для родительского контроля, но также рекламируются как инструмент отслеживания устройств супругов и партнёров. На сайте компании открыто предлагаются подобные продукты для наблюдения.
Stalkerware обычно устанавливается человеком с физическим доступом и знанием пароля устройства жертвы. Stalkerware работает скрытно, поэтому такое ПО трудно обнаружить и удалить. После установки шпионское ПО собирает информацию о нажатиях клавиш, нажатиях на экран, истории веб-поиска, активности устройства и, в случае с Android-устройствами, данные о местоположении.
В утекших данных содержатся логи всех отслеживаемых устройств, включая незашифрованные журналы активности. Анализ данных о местоположении жертв показал, что большинство устройств находятся в Европе, США, Африке, Азии, Австралии и на Ближнем Востоке. Одна из записей, связанных с учетной записью администратора Поленчека, содержит точную геолокацию его дома в Миннесоте.
Геолокация жертв шпионского ПО
Хотя утечка включает множество конфиденциальной и личной информации, полученной с устройств людей (некоторые из них могут не знать о мониторинге), данные не содержат достаточной идентифицирующей информации, чтобы TechCrunch мог уведомить жертв об утечке.
На вопрос TechCrunch, планирует ли компания уведомить своих клиентов или соответствующие органы (как того требуют законы о нарушении данных), Поленчек не ответил. Агентство попыталось связаться с генпрокурором Миннесоты, но ответа не последовало.
Компания Spytech существует по крайней мере с 1998 года. До 2009 года деятельность компании оставалась незамеченной, пока житель Огайо не был осужден за использование шпионского ПО Spytech для заражения компьютерных систем детской больницы с целью отслеживания электронной почты своей бывшей девушки, работающей там. Шпионское ПО попало в системы больницы, как только девушка открыла заражённое вложение. Кроме личной электронной почты девушки, программа собирала конфиденциальную информацию о здоровье пациентов.
Spytech – второй производитель шпионского ПО из США, пострадавший от утечки данных в последние месяцы. В мае хакер взломал сайт шпионского приложения pcTattletale, которое, как оказалось, было установлено в системах регистрации нескольких отелей сети Wyndham в США. Злоумышленник разместил на официальной странице оскорбительный контент и слил в открытый доступ более десятка архивов, содержащих базы данных и исходный код программы.