Hacktivist recopila registros de pago de más de 500.000 clientes de stalkerware

Un hacktivista recopiló más de 500.000 registros de pago de un proveedor de una aplicación de monitoreo telefónico «stalkerware» para consumidores, exponiendo algunas de las direcciones de correo electrónico e información de pago de clientes que pagaron para espiar a otros.

El acuerdo incluye registros de pagos por servicios de seguimiento telefónico como Geofinder y uMobix, servicios como Peekviewer (anteriormente Glassagram), que pretende dar acceso a cuentas privadas de Instagram, y varias aplicaciones de seguimiento y seguimiento del mismo proveedor, una empresa ucraniana llamada Struktura.

Los datos de los clientes también incluyen registros de transacciones de Xnspy, una aplicación de vigilancia telefónica que filtró datos personales de los dispositivos Android y iPhones de decenas de miles de personas desprevenidas en 2022.

Este es el ejemplo más reciente de un proveedor de monitoreo que filtra información de sus clientes debido a una falla de seguridad. En los últimos años, docenas de aplicaciones de stalkerware han sido pirateadas y los datos personales de las personas (a menudo las propias víctimas) se han perdido, filtrado o expuesto gracias a prácticas descuidadas de ciberseguridad por parte de los operadores de stalkerware.

Una vez instaladas en el teléfono de alguien, las aplicaciones de stalkerware como uMobix y Xnspy cargan y comparten los datos personales de la víctima, incluidos registros de llamadas, mensajes de texto, fotos, historial de navegación y datos de ubicación precisos, con la persona que instaló la aplicación.

Aplicaciones como uMobix y Xnspy anuncian explícitamente servicios que permiten a las personas espiar a su cónyuge o pareja de hecho, lo cual es ilegal.

Los datos vistos por TechCrunch incluyeron aproximadamente 536.000 direcciones de correo electrónico de clientes, las aplicaciones y marcas por las que pagaron, el monto que pagaron, el tipo de tarjeta de pago (como Visa o Mastercard) y los últimos cuatro dígitos de la tarjeta. Los registros de clientes no incluían fechas de pago.

TechCrunch verificó la autenticidad de los datos obteniendo varios registros de transacciones, incluidas direcciones de correo electrónico desechables, en bandejas de entrada públicas como Mailinator, y ejecutando esos registros a través de varios portales de restablecimiento de contraseña proporcionados por varias aplicaciones de monitoreo. Al restablecer las contraseñas de las cuentas asociadas con direcciones de correo electrónico públicas, determinamos que se trataba de cuentas genuinas.

También verificamos los datos haciendo coincidir el número de factura único de cada transacción del conjunto de datos filtrado con la página de pago del proveedor de monitoreo. Esto es posible porque la página de pago le permite recuperar los mismos datos del cliente y de la transacción del servidor sin necesidad de una contraseña.

El hacktivista, que recibe el sobrenombre de «Wicked», le dijo a TechCrunch que extrajo datos de proveedores de software acosadores gracias a un error «menor» en el sitio web. El hacktivista dijo que «le gusta apuntar a aplicaciones utilizadas para espiar a las personas» y luego publicó los datos extraídos en conocidos foros de piratería.

La lista del foro de piratería enumera al proveedor de vigilancia como Ersten Group, que se describe a sí mismo como una startup de desarrollo de software con sede en el Reino Unido.

TechCrunch descubrió que varias direcciones de correo electrónico en el conjunto de datos utilizado para pruebas y atención al cliente hacían referencia a Struktura, una empresa ucraniana con el mismo sitio web que Ersten Group. El registro más antiguo del conjunto de datos contiene la dirección de correo electrónico de la directora ejecutiva de Struktura, Viktoriia Zosim, cuyo monto de transacción fue de 1 dólar.

Los representantes de Elsten Group no respondieron a las solicitudes de comentarios. Zosim de Struktura no respondió a las solicitudes de comentarios.