電話監視業務のmSpyでのデータ侵害により、過去10年間に電話スパイウェアアプリへのアクセスを購入した数百万人の顧客と、その背後にあるウクライナの企業がさらされました。
2024年5月に不明の攻撃者が、mSpyから数百万件の顧客サポートチケットを盗みました。これには個人情報、サポートへのメール、個人文書などの添付ファイルが含まれています。スパイウェア販売業者のハッキングはますます一般的になっていますが、このようなデータには通常、サービスを利用する顧客に関する非常に機密性の高い情報が含まれているため、注目を集めています。
このハックは2014年以降のカスタマーサービス記録を網羅し、スパイウェアメーカーのZendeskパワードカスタマーサポートシステムから盗まれました。
mSpyは、子供を追跡したり従業員を監視したりする方法として自己を宣伝している電話監視アプリです。ほとんどのスパイウェアと同様に、同意なしに人々を監視するために広く使用されています。これらのアプリはしばしば「ストーカーウェア」として知られており、ロマンチックな関係にある人々が許可や許可を得ずにパートナーを監視するために使用することがよくあります。
ハック後、数ヶ月以上が経過してもmSpyの所有者であるウクライナの企業であるBrainstackは侵害を認めたり公に開示したりしていません。
データ侵害通知サイトHave I Been Pwnedを運営するTroy Huntは、侵害されたデータの完全なコピーを入手し、スパイウェア顧客の約240万人の一意のメールアドレスを過去のデータ侵害のカタログに追加しました。
mSpyは最近数カ月でハッキングされた最新の電話スパイウェア運営の1つであり、mSpyの侵害は再びスパイウェアメーカーがデータを保護できないことを示しています。——それが顧客のデータであれ、またはその被害者であれ。
TechCrunchは、漏洩されたデータセット(100ギガバイト以上のZendeskレコード)を分析しました。これには何百万もの個々の顧客サービスチケットとそれらのメールアドレス、およびそれらのメールの内容が含まれていました。
電話スパイウェアの購入自体は違法ではありませんが、同意なしに誰かを監視するためにスパイウェアを販売したり使用することは違法です。過去にスパイウェアメーカーを起訴した米国の検察官や、サイバーセキュリティとプライバシーのリスクを理由にスパイウェア企業を監視業界から排除した連邦当局や州の監視機関もいます。
漏洩されたZendeskデータのメールによると、mSpyとその運営者は、スパイウェアをどのように使用するかについて非常によく把握しており、同意なしに電話を監視することを含む要求がいくつかあります。データによると、米国の連邦控訴裁判所の判事であるKevin Newsomのメールアドレスには、mSpyからの払い戻しの要求が含まれています。
BrainstackのウェブサイトにはmSpyの言及がありません。一部のBrainstackの公開求人リストと同様に、Brainstackは自社が特定の「ペアレンタルコントロール」アプリに取り組んでいるとのみ述べています。しかし、内部のZendeskデータダンプには、BrainstackがmSpyの運営に広範囲かつ密接に関与していることが示されています。
漏洩されたZendeskデータには、Brainstackの従業員の本名と場合によっては電話番号が含まれており、これらの従業員の自らの身元を隠すために、mSpyの顧客チケットに対する回答時に使用した偽名も含まれています。
テククランチに連絡された際、2人のBrainstackの従業員が、漏洩された記録で見つかった通りの名前を確認しましたが、Brainstackでの作業についてはコメントを保留しました。
Brainstackの最高経営責任者であるVolodymyr SitnikovとシニアエグゼクティブのKateryna Yurchukは、発表前にコメントを求める複数のメールに回答しませんでした。名前を明かさなかったBrainstackの代表は、私たちの報道を否定することはありませんでしたが、企業の幹部に宛てた質問リストに回答を提供しないと述べました。
ZendeskのスポークスパーソンであるCourtney Blakeは、テククランチに対して「現時点で、Zendeskがプラットフォームに侵害を受けた証拠はありません」と述べましたが、mSpyがスパイウェアオペレーションをサポートするためにZendeskを使用したかどうかは言及しませんでした。
TECHCRUNCHから連絡すると、Social Security Administrationの監査官総監事事務所のスタッフから、mSpyについての問い合わせがあり、「いくつかの犯罪捜査に[mSpy]を利用できるか」と尋ねています。Social Security Administrationの検査官総監事の広報担当者は、なぜその職員が代理でmSpyに問い合わせたかについてコメントしなかった。
アーカンソーカウンティシェリフの部署は、近隣の親にソフトウェアのデモを提供するためにmSpyの無料トライアルを求めました。その軍曹は、TechCrunchの質問に対して返答しませんでした。