La violación de datos expone a millones de clientes de software espía mSpy

Una filtración de datos en la operación de vigilancia telefónica mSpy ha expuesto a millones de sus clientes que compraron acceso a la aplicación de software espía para teléfonos durante la última década, así como a la empresa ucraniana detrás de ella.

Atacantes desconocidos robaron millones de tickets de atención al cliente, incluida información personal, correos electrónicos de soporte y archivos adjuntos, incluidos documentos personales, de mSpy en mayo de 2024. Si bien los ataques a proveedores de software espía se están volviendo cada vez más comunes, siguen siendo notables debido a la información personal altamente sensible. información. a menudo se incluyen en los datos, en este caso sobre los clientes que utilizan el servicio.

El hackeo incluyó registros de servicio al cliente que datan de 2014, que fueron robados del sistema de atención al cliente basado en Zendesk del fabricante de software espía.

mSpy es una aplicación de vigilancia telefónica que se promociona como una forma de rastrear niños o monitorear a los empleados. Como la mayoría de los programas espía, también se utiliza mucho para vigilar a las personas sin su consentimiento. Este tipo de aplicaciones también se conocen como «stalkerware» porque las personas que mantienen relaciones románticas suelen utilizarlas para vigilar a su pareja sin consentimiento o permiso.

La aplicación mSpy permite a la persona que instaló el software espía, generalmente alguien que previamente tuvo acceso físico al teléfono de la víctima, ver de forma remota el contenido del teléfono en tiempo real.

Como es común con el software espía para teléfonos, los registros de clientes de mSpy incluyen correos electrónicos de personas que buscan ayuda para rastrear en secreto los teléfonos de sus parejas, familiares o hijos, según la revisión de datos de TechCrunch, que obtuvimos de forma independiente. Algunos de esos correos electrónicos y mensajes incluyen solicitudes de atención al cliente de varios militares de alto rango de los EE. UU., un juez de la corte federal de apelaciones de los EE. UU., un organismo de control del departamento del gobierno de los EE. UU. y la oficina del sheriff del condado de Arkansas que buscan una licencia gratuita para probar la aplicación.

Incluso después de recopilar varios millones de tickets de servicio al cliente, se cree que los datos filtrados de Zendesk representan solo la porción de la base general de clientes de mSpy que ha solicitado atención al cliente. Es probable que la cantidad de clientes mSpy sea mucho mayor.

Sin embargo, más de un mes después de la infracción, los propietarios de mSpy, una empresa con sede en Ucrania llamada Brainstack, no han reconocido ni revelado públicamente la infracción.

Troy Hunt, que dirige el sitio de notificación de violaciones de datos Have I Been Pwned, obtuvo una copia de todo el conjunto de datos filtrados, agregando aproximadamente 2,4 millones de direcciones de correo electrónico únicas de clientes de mSpy al catálogo de su sitio de violaciones de datos pasadas.

Hunt le dijo a TechCrunch que se comunicó con varios suscriptores de Have I Been Pwned con información sobre la violación de datos, quienes le confirmaron que los datos filtrados eran precisos.

mSpy es la última operación de software espía para teléfonos pirateada en los últimos meses, según una lista compilada recientemente por TechCrunch. La brecha en mSpy muestra una vez más que no se puede confiar en que los fabricantes de software espía mantengan seguros sus datos, ni los de sus clientes o sus víctimas.

Millones de mensajes de clientes de mSpy

TechCrunch analizó el conjunto de datos publicado (más de 100 gigabytes de registros de Zendesk) que contenía millones de tickets de servicio al cliente individuales y sus correspondientes direcciones de correo electrónico, así como el contenido de esos correos electrónicos.

Algunas de las direcciones de correo electrónico pertenecen a víctimas involuntarias que fueron atacadas por un cliente mSpy. Los datos también muestran que algunos periodistas se pusieron en contacto con la empresa para pedir comentarios después de la última infracción conocida de la empresa en 2018. Y, en varias ocasiones, agentes del orden público estadounidenses han presentado o han intentado presentar citaciones y demandas legales ante mSpy. En un caso, después de un breve intercambio de correos electrónicos, un representante de mSpy proporcionó la información de la cuenta y la dirección de un cliente de mSpy (un presunto criminal sospechoso en un caso de secuestro y homicidio) a un agente del FBI.

Cada ticket en el conjunto de datos contenía una variedad de información sobre las personas que contactaron a mSpy. En muchos casos, los datos también incluían su ubicación aproximada según la dirección IP del dispositivo del remitente.

TechCrunch analizó dónde se encontraban los clientes que contactaban con mSpy extrayendo todas las coordenadas de ubicación del conjunto de datos y trazando los datos en una herramienta de mapeo fuera de línea. Los resultados muestran que los clientes de mSpy están ubicados en todo el mundo, con grandes grupos en Europa, India, Japón, América del Sur, el Reino Unido y Estados Unidos.

Comprar software espía no es ilegal per se, pero vender o utilizar software espía para engañar a alguien sin su consentimiento sí lo es. Los fiscales estadounidenses han acusado a los fabricantes de software espía en el pasado, y las autoridades federales y los organismos de control estatales han prohibido a las empresas de software espía en la industria de la vigilancia, citando los riesgos de ciberseguridad y la privacidad que crea el software espía. Los clientes que instalen software espía también pueden enfrentarse a procesos judiciales por violar las leyes sobre escuchas telefónicas.

Los correos electrónicos en los datos filtrados de Zendesk muestran que mSpy y sus operadores saben muy bien para qué usan los clientes el software espía, incluido el monitoreo de teléfonos sin el conocimiento de la persona. Algunas de las afirmaciones citan a clientes que preguntan cómo eliminar mSpy del teléfono de su pareja después de que su cónyuge se enterara. El conjunto de datos también plantea dudas sobre el uso de mSpy por parte de funcionarios y agencias del gobierno de EE. UU., departamentos de policía y el poder judicial, ya que no está claro si algún uso del software espía siguió a un juicio legal.

Según los datos, una de las direcciones de correo electrónico pertenece a Kevin Newsom, juez de apelaciones en activo de la Corte de Apelaciones del Undécimo Circuito de los Estados Unidos en Alabama, Georgia y Florida, quien utilizó su correo electrónico oficial del gobierno para solicitar un reembolso a mSpy.

Kate Adams, directora de relaciones laborales de la Corte de Apelaciones del Undécimo Circuito de los Estados Unidos, dijo a TechCrunch: «El uso del juez Newsom estaba completamente dentro de la capacidad de sus tratos personales con un asunto familiar». Adams se negó a responder preguntas específicas sobre el uso de mSpy por parte del juez o si el sujeto de vigilancia de Newsom había dado su consentimiento.

El conjunto de datos también muestra el interés de las autoridades y las fuerzas del orden estadounidenses. Un correo electrónico de un empleado de la Oficina del Inspector General de la Administración del Seguro Social, un organismo de control encargado de supervisar la agencia federal, preguntó a un representante de mSpy si el organismo de control podía «utilizar [mSpy] con algunas de nuestras investigaciones criminales”, sin especificar cómo.

Cuando TechCrunch lo contactó, un portavoz del inspector general de la Administración de la Seguridad Social no quiso comentar por qué el personal preguntó sobre mSpy en nombre de la agencia.

El departamento del sheriff del condado de Arkansas buscó pruebas gratuitas de mSpy, aparentemente para proporcionar demostraciones del software a los padres del vecindario. Ese sargento no respondió a la pregunta de TechCrunch sobre si estaban autorizados a contactar a mSpy.

La empresa detrás de mSpy

Esta es la tercera filtración de datos conocida de mSpy desde que la compañía comenzó alrededor de 2010. mSpy es una de las operaciones de software espía telefónico de mayor duración, lo que en parte es la razón por la que ha acumulado tantos clientes.

A pesar de su tamaño y alcance, los operadores de mSpy han permanecido ocultos a la vista del público y han evadido en gran medida el escrutinio, hasta ahora. No es raro que los fabricantes de software espía oculten las identidades reales de sus empleados para proteger a la empresa de los riesgos legales y de reputación asociados con la ejecución de una operación global de vigilancia telefónica, que es ilegal en muchos países.

Pero la violación de datos de Zendesk de mSpy expuso a su empresa matriz como una empresa de tecnología ucraniana llamada Brainstack.

El sitio web de Brainstack no menciona mSpy. Al igual que sus ofertas de trabajo públicas, Brainstack sólo se refiere a su trabajo en una aplicación de «control parental» no especificada. Pero el volcado de datos interno de Zendesk muestra que Brainstack está amplia e íntimamente involucrado en las operaciones de mSpy.

En los datos filtrados de Zendesk, TechCrunch encontró registros que contienen información sobre docenas de empleados con direcciones de correo electrónico de Brainstack. Muchos de estos empleados participaron en la atención al cliente de mSpy, como responder preguntas de los clientes y solicitudes de reembolso.

Los datos filtrados de Zendesk contienen los nombres reales y, en algunos casos, los números de teléfono de los empleados de Brainstack, así como los nombres falsos que utilizaron al responder a los tickets de los clientes de mSpy para ocultar sus propias identidades.

Cuando TechCrunch los contactó, dos empleados de Brainstack confirmaron sus nombres tal como se encuentran en los registros filtrados, pero se negaron a hablar sobre su trabajo con Brainstack.

El director ejecutivo de Brainstack, Volodymyr Sitnikov, y la alta ejecutiva Kateryna Yurchuk no respondieron a múltiples correos electrónicos en busca de comentarios antes de su publicación. En cambio, un representante de Brainstack, que no proporcionó su nombre, no cuestionó nuestro informe pero se negó a dar respuestas a una lista de preguntas para los ejecutivos de la empresa.

No está claro cómo se vio comprometida la instancia de mSpy de Zendesk ni por quién. La violación fue revelada por primera vez por la hacker maia arson crimew, con sede en Suiza, y posteriormente los datos se pusieron a disposición de DDoSecrets, un colectivo de transparencia sin fines de lucro que indexa conjuntos de datos comprometidos en interés público.

Cuando se le contactó para hacer comentarios, la portavoz de Zendesk, Courtney Blake, dijo a TechCrunch: «En este momento, no tenemos evidencia de que Zendesk haya experimentado un compromiso de su plataforma», pero no dijo si el uso de mSpy por parte de Zendesk para respaldar sus operaciones de software espía no viola. sus términos de servicio.

«Estamos comprometidos a defender nuestra Política de conducta y contenido del usuario e investigar las acusaciones de infracción de manera adecuada y de acuerdo con nuestros procedimientos establecidos», dijo el portavoz.

Si usted o alguien que conoce necesita ayuda, la Línea Directa Nacional contra la Violencia Doméstica (1-800-799-7233) brinda apoyo confidencial gratuito las 24 horas, los 7 días de la semana a las víctimas de abuso y violencia doméstica. Si se encuentra en una situación de emergencia, llame al 911. El Coalición contra el stalkerware tiene recursos si cree que su teléfono ha sido comprometido por software espía.