Szpiegowali komórki małżonków lub dzieci – ich dane znalazły się w sieci

Dane użytkowników popularnej aplikacji szpiegującej telefony komórkowe mSpy zostały wykradzione i opublikowane w internecie. Wśród tysięcy jej klientów i ofiar nie brakuje także Polek i Polaków. Poniżej analiza wycieku.

Jak poinformował Brian Krebs, kilka dni temu w sieci Tor opublikowane zostały dane wykradzione z serwerów firmy mSpy. Z usług tej firmy korzystają głównie zazdrośni małżonkowie lub „troskliwi” rodzice. Firma oferuje oprogramowanie monitorujące urządzenia mobilne (oraz stacjonarne). Pozwala monitorującemu, po zainstalowaniu odpowiedniego oprogramowania (lub kupieniu gotowego telefonu) w pełni inwigilować użytkownika urządzenia. Treść wiadomości SMS, zdjęcia, lista połączeń, lokalizacja, odwiedzane strony, rozmowy w różnych aplikacjach – to wszystko ląduje na serwerach mSpy i jest udostępniane osobie monitorującej. Część tych danych trafiła do sieci.

Ogromna skala wycieku

W oryginalnym artykule informującym o wycieku adres serwera w sieci Tor, na którym zostały umieszczone informacje, został ukryty, jednak nam udało się go zlokalizować i ocenić zawartość opublikowanych plików. Trafiliśmy także na liczne ślady naszych rodaków.

Na serwerze znalazły się katalogi o dość enigmatycznych nazwach, w których znajdują się pliki w formacie bson, spakowane algorytmem bz2. Łącznie udostępnione pliki zajmują ok. 20 gigabajtów, jednak ze względu na świetną kompresję plików tekstowych zawierają ok. 400 gigabajtów informacji.

Struktura katalogów

Udostępnione pliki, na które zdążyliśmy rzucić okiem zanim właściciel serwera zablokował do nich dostęp, zawierają przede wszystkim logi transakcyjne serwisu. Największy z nich – spakowany – ma rozmiar prawie 15 gigabjatów, zatem spodziewamy się, że może zawierać również dane pobierane z monitorowanych urządzeń takie jak zdjęcia, SMSy czy dane lokalizacyjne.

Na serwerze na pewno znajdują się rejestry transakcji klientów serwisu zawieranych od grudnia 2014 do lutego 2015. Pliki te zawierają imiona, nazwiska, adresy zamieszkania, adresy email, adresy IP oraz użyte metody płatności oraz informacje o zakupionych produktach. Dostępne są także rejestry logowania do serwisu w tym samym okresie, gdzie znaleźć można między innymi adresy email użytkowników oraz skojarzone z nimi adresy IP. Znaleźć można także kilkaset emaili użytkowników do działu obsługi klienta.

Nasi tu byli

Wśród setek tysięcy rekordów transakcji znaleźliśmy dane co najmniej 70 osób, które w polu adresu jako kraj podały Polskę.

Fragment listy klientów

Co ciekawe, spośród 70 użytkowników z Polski, którzy zdecydowali się zakupić usługę między listopadem 2014 a lutym 2015, znaleźć można wielu prawników, lekarzy czy przedstawicieli wyższego kierownictwa polskich firm. 56 osób to mężczyźni, 14 to kobiety. Polskich użytkowników w systemie jest o wiele więcej – widać to w zapisach logowania do serwisu, gdzie przewija się mnóstwo adresów email wskazujących na to, że ich właściciele są naszymi rodakami. Z uwagi na ogromny rozmiar danych ich pełna analiza może zająć wiele dni, ale raczej należy się spodziewać, że ktoś prędzej czy później dane pobierze, oczyści i opublikuje w czytelnej formie. Chwilowo serwer zawierający wykradzione dane wyłączył możliwość ich pobierania, ale niewykluczone, że wkrótce zostaną ponownie udostępnione.

Podsumowanie

Patrząc na ten incydent można zażartować, że zwolennicy inwigilacji otrzymali namiastkę tego, co spotyka ich ofiary – ich prywatność została naruszona. Gorzej, że w ujawnionych danych znajdują się najprawdopodobniej również informacje wykradzione z telefonów osób inwigilowanych. To wydarzenie powinno być nauczką dla wszystkich osób powierzających swoje i cudze sekrety przypadkowym firmom znalezionym w sieci – pomyślcie następnym razem zanim znowu postanowicie podsłuchiwać najbliższych. Czy naprawdę warto?

PS. Nie udostępniamy informacji o wykradzionych danych ani nie świadczymy porad pt. „jak zlokalizować komórkę” czy też „jak podsłuchać męża”.