Dane użytkowników popularnej aplikacji szpiegującej telefony komórkowe mSpy zostały wykradzione i opublikowane w internecie. Wśród tysięcy jej klientów i ofiar nie brakuje także Polek i Polaków. Poniżej analiza wycieku.
Jak poinformował Brian Krebs, kilka dni temu w sieci Tor opublikowane zostały dane wykradzione z serwerów firmy mSpy. Z usług tej firmy korzystają głównie zazdrośni małżonkowie lub „troskliwi” rodzice. Firma oferuje oprogramowanie monitorujące urządzenia mobilne (oraz stacjonarne). Pozwala monitorującemu, po zainstalowaniu odpowiedniego oprogramowania (lub kupieniu gotowego telefonu) w pełni inwigilować użytkownika urządzenia. Treść wiadomości SMS, zdjęcia, lista połączeń, lokalizacja, odwiedzane strony, rozmowy w różnych aplikacjach – to wszystko ląduje na serwerach mSpy i jest udostępniane osobie monitorującej. Część tych danych trafiła do sieci.
Ogromna skala wycieku
W oryginalnym artykule informującym o wycieku adres serwera w sieci Tor, na którym zostały umieszczone informacje, został ukryty, jednak nam udało się go zlokalizować i ocenić zawartość opublikowanych plików. Trafiliśmy także na liczne ślady naszych rodaków.
Na serwerze znalazły się katalogi o dość enigmatycznych nazwach, w których znajdują się pliki w formacie bson, spakowane algorytmem bz2. Łącznie udostępnione pliki zajmują ok. 20 gigabajtów, jednak ze względu na świetną kompresję plików tekstowych zawierają ok. 400 gigabajtów informacji.
Struktura katalogów
Udostępnione pliki, na które zdążyliśmy rzucić okiem zanim właściciel serwera zablokował do nich dostęp, zawierają przede wszystkim logi transakcyjne serwisu. Największy z nich – spakowany – ma rozmiar prawie 15 gigabjatów, zatem spodziewamy się, że może zawierać również dane pobierane z monitorowanych urządzeń takie jak zdjęcia, SMSy czy dane lokalizacyjne.
Na serwerze na pewno znajdują się rejestry transakcji klientów serwisu zawieranych od grudnia 2014 do lutego 2015. Pliki te zawierają imiona, nazwiska, adresy zamieszkania, adresy email, adresy IP oraz użyte metody płatności oraz informacje o zakupionych produktach. Dostępne są także rejestry logowania do serwisu w tym samym okresie, gdzie znaleźć można między innymi adresy email użytkowników oraz skojarzone z nimi adresy IP. Znaleźć można także kilkaset emaili użytkowników do działu obsługi klienta.
Nasi tu byli
Wśród setek tysięcy rekordów transakcji znaleźliśmy dane co najmniej 70 osób, które w polu adresu jako kraj podały Polskę.
Fragment listy klientów
Co ciekawe, spośród 70 użytkowników z Polski, którzy zdecydowali się zakupić usługę między listopadem 2014 a lutym 2015, znaleźć można wielu prawników, lekarzy czy przedstawicieli wyższego kierownictwa polskich firm. 56 osób to mężczyźni, 14 to kobiety. Polskich użytkowników w systemie jest o wiele więcej – widać to w zapisach logowania do serwisu, gdzie przewija się mnóstwo adresów email wskazujących na to, że ich właściciele są naszymi rodakami. Z uwagi na ogromny rozmiar danych ich pełna analiza może zająć wiele dni, ale raczej należy się spodziewać, że ktoś prędzej czy później dane pobierze, oczyści i opublikuje w czytelnej formie. Chwilowo serwer zawierający wykradzione dane wyłączył możliwość ich pobierania, ale niewykluczone, że wkrótce zostaną ponownie udostępnione.
Podsumowanie
Patrząc na ten incydent można zażartować, że zwolennicy inwigilacji otrzymali namiastkę tego, co spotyka ich ofiary – ich prywatność została naruszona. Gorzej, że w ujawnionych danych znajdują się najprawdopodobniej również informacje wykradzione z telefonów osób inwigilowanych. To wydarzenie powinno być nauczką dla wszystkich osób powierzających swoje i cudze sekrety przypadkowym firmom znalezionym w sieci – pomyślcie następnym razem zanim znowu postanowicie podsłuchiwać najbliższych. Czy naprawdę warto?
PS. Nie udostępniamy informacji o wykradzionych danych ani nie świadczymy porad pt. „jak zlokalizować komórkę” czy też „jak podsłuchać męża”.
Komentarze
to pewnie pocket
bson to format binarny, ale też znakomicie sie kompresuje. Bez zaglądania w pliki trochę ciężko zgadywać, ale z bson jak do tej pory spotkałem się tylko przy okazji bazy MongoDB, więc jest spora szansa że to jest zrzut z Mongo.
Nie oceniałbym z góry osób korzystającychz tego typu aplikacji. Dzięki temu kolega odnalazł ojca z zanikiem pamięci. Podobnych sytuacji na pewno jest wiele.
Do tego celu wystarczy standardowa usługa lokalizacji Google albo Apple.
Znajomy mi się „pochwalił”, że zainstalował cos takiego żonie( już nie są razem, ale apka ciągle nadaje), ciekawe czy to to i ciekawe co teraz czuje:-D
no tak te maile przymazane, że jak ofiara akurat zna email swojego potencjalnego prześladowcy to sobie zweryfikuje w tym screenie czy to np jej Darek z Rawy Mazowieckiej, który ma pocztę na gmailu jak widać ;)
Szpiegowanie żony tylko softem spod własnej ręki!! Nigdy bym nie zaufał czemuś 'od kogoś’..bo kto mi da gwarancję, że ja jestem jedynym odbiorcą informacji?
Warto. ;) Niestety…. Ja złapałem moją byłą na notorycznej lewiźnie. Za rączkę, in flagranti. Gość pacyfikacja, laska kop w cztery litery. Chociaż z drugiej strony mam takie myśli, że źle zrobiłem. Bo podobno „jak suka nie da to pies nie weźmie”… Więc co ten facet był winny :P
Zdradzana osoba ma problem nie z drugą połówką lecz z sobą… i to poważny problem.