Περισσότεροι από 500.000 χρήστες εφαρμογών παρακολούθησης κινητών και κοινωνικών δικτύων είδαν τα email τους και τμήμα των στοιχείων των καρτών πληρωμής να δημοσιεύονται σε φόρουμ χάκερ. Η υπόθεση φωτίζει ξανά τον τοξικό και επισφαλή κόσμο του stalkerware, όπου οι θύτες και τα θύματα εκτίθενται ταυτόχρονα.
Ένας χάκερ με κίνητρα ακτιβισμού («hacktivist») υπέκλεψε και δημοσίευσε περισσότερες από 500.000 εγγραφές πληρωμών από πάροχο καταναλωτικών εφαρμογών παρακολούθησης («stalkerware»), εκθέτοντας τις διευθύνσεις email και τα μερικά στοιχεία καρτών πληρωμών πελατών που πλήρωσαν για να κατασκοπεύουν άλλους.
Τι αποκαλύπτει η διαρροή
Τα δεδομένα αφορούν συναλλαγές για υπηρεσίες εντοπισμού κινητών όπως οι Geofinder και uMobix, αλλά και εφαρμογές όπως η Peekviewer (πρώην Glassagram) που υπόσχονται πρόσβαση σε ιδιωτικούς λογαριασμούς Instagram. Όλες συνδέονται με τον ίδιο προμηθευτή, μια ουκρανική εταιρεία με την επωνυμία Struktura.
Στο ίδιο σύνολο δεδομένων περιλαμβάνονται και συναλλαγές της Xnspy, γνωστής εφαρμογής παρακολούθησης κινητών, η οποία ήδη από το 2022 είχε εκθέσει ιδιωτικά δεδομένα δεκάδων χιλιάδων χρηστών Android και iPhone λόγω ανεπαρκούς ασφάλειας. Η νέα διαρροή έρχεται να προστεθεί σε μια μακρά σειρά περιστατικών όπου εφαρμογές stalkerware είτε χακάρονται είτε «χάνουν» ευαίσθητα δεδομένα χρηστών και θυμάτων.
Σύμφωνα με τα στοιχεία που είδε το TechCrunch, το dataset περιλαμβάνει περίπου 536.000 γραμμές με email πελατών, την εμπορική ονομασία της εφαρμογής που πλήρωσαν, το ποσό, τον τύπο κάρτας (Visa, Mastercard κ.λπ.) και τα τελευταία τέσσερα ψηφία της κάρτας. Δεν περιλαμβάνονται ημερομηνίες πληρωμών, ωστόσο ο συνδυασμός email και στοιχείων κάρτας είναι επαρκής για την ταυτοποίηση χρηστών.
Πώς επιβεβαιώθηκε η αυθεντικότητα και ποιος ευθύνεται
Οι δημοσιογράφοι επαλήθευσαν την αυθεντικότητα των δεδομένων χρησιμοποιώντας εγγραφές με προσωρινά, δημόσια διαθέσιμα email (τύπου Mailinator) στα οποία είχαν δημιουργηθεί λογαριασμοί στις συγκεκριμένες υπηρεσίες. Μέσω διαδικασιών επαναφοράς κωδικού πρόσβασης, διαπιστώθηκε ότι τα accounts ήταν πραγματικά και ενεργά.
Επιπλέον, κάθε συναλλαγή συνοδευόταν από μοναδικό αριθμό τιμολογίου, ο οποίος ταυτίστηκε με τα στοιχεία που επέστρεφαν οι σελίδες checkout του προμηθευτή. Το κρίσιμο κενό ασφαλείας ήταν ότι ο server επέτρεπε την ανάκτηση των ίδιων στοιχείων συναλλαγής χωρίς να απαιτείται κωδικός πρόσβασης.
Ο hacktivist, με το ψευδώνυμο «wikkid», δήλωσε ότι εκμεταλλεύτηκε ένα «τετριμμένο» σφάλμα στον ιστότοπο του παρόχου και ότι «διασκεδάζει στοχεύοντας εφαρμογές που χρησιμοποιούνται για να κατασκοπεύουν ανθρώπους». Τα δεδομένα ανέβηκαν σε γνωστό φόρουμ χάκερ.
Στο φόρουμ, ο πάροχος αναφέρεται ως Ersten Group, που παρουσιάζεται ως βρετανική startup ανάπτυξης λογισμικού. Ωστόσο, αρκετές διευθύνσεις email στο dataset παραπέμπουν στη Struktura, ουκρανική εταιρεία με σχεδόν πανομοιότυπο website με αυτό της Ersten Group. Η παλαιότερη εγγραφή αφορά συναλλαγή αξίας 1 δολαρίου με email που ανήκει στην διευθύνουσα σύμβουλο της Struktura, Viktoriia Zosim. Καμία από τις δύο οντότητες δεν απάντησε σε αιτήματα σχολιασμού.
Το σκοτεινό οικοσύστημα του stalkerware και οι κίνδυνοι
Εφαρμογές όπως uMobix και Xnspy, όταν εγκατασταθούν κρυφά σε κινητό, ανεβάζουν σε απομακρυσμένους servers τις κλήσεις, τα SMS, τις φωτογραφίες, το ιστορικό περιήγησης και τα ακριβή δεδομένα τοποθεσίας του θύματος, τα οποία στη συνέχεια είναι διαθέσιμα στον δράστη. Πολλές από αυτές τις υπηρεσίες έχουν διαφημιστεί ανοιχτά για κατασκοπεία σε συζύγους ή συντρόφους, πρακτική που είναι παράνομη στις περισσότερες έννομες τάξεις.
Η υπόθεση αναδεικνύει μια διπλή απειλή: από τη μια, την παραβίαση της ιδιωτικότητας των θυμάτων παρακολούθησης· από την άλλη, την έκθεση των ίδιων των πελατών, των οποίων τα οικονομικά και προσωπικά στοιχεία μπορούν πλέον να χρησιμοποιηθούν για εκβιασμούς, απάτες ή νομικές ενέργειες.
Σχόλιο 
: Η διαρροή αυτή λειτουργεί ως καμπανάκι όχι μόνο για τους χρήστες, αλλά και για τις ρυθμιστικές αρχές: το οικοσύστημα του stalkerware, με αδιαφανείς εταιρικές δομές και παιδαριώδη κυβερνοασφάλεια, έχει μετατραπεί σε συστημικό κίνδυνο για την ιδιωτικότητα και την ασφάλεια εκατομμυρίων πολιτών παγκοσμίως.
#κυβερνοασφάλεια #διαρροήΔεδομένων #stalkerware #ιδιωτικότητα #παρακολούθηση
