Het datalek bij mSpy heeft opnieuw de kwetsbaarheden in de wereld van spyware voor telefoons blootgelegd.
mSpy, een veelgebruikte app voor telefoonbewaking, heeft te maken gehad met een groot datalek, waardoor de gevoelige informatie van miljoenen klanten op straat is komen te liggen.
Het datalek bij mSpy, dat gisteren plaatsvond, heeft aan het licht gebracht hoeveel persoonlijke gegevens er zijn gestolen. Het heeft gevolgen voor een groot aantal mensen wereldwijd.
De omvang van het datalek bij mSpy
De datalek bij mSpy is niet alleen opmerkelijk vanwege de omvang, maar ook vanwege de aard van de blootgestelde gegevens. Onbekende aanvallers kregen toegang tot miljoenen tickets voor klantenondersteuning van het Zendesk-systeem van mSpy, met records van 2014 tot 2024. Deze tickets bevatten persoonlijke informatie, e-mailcommunicatie en bijlagen met persoonlijke documenten. Het lek onthulde een enorme hoeveelheid gevoelige informatie, wat met name zorgwekkend is gezien het gebruik van de app.
mSpy profileert zichzelf als een tool om kinderen te volgen of werknemers te monitoren. Het wordt echter vaak gebruikt om personen te monitoren zonder hun toestemming, wat het label “stalkerware” oplevert. Deze spyware stelt gebruikers in staat om op afstand toegang te krijgen tot de inhoud van een telefoon in realtime, wat doorgaans fysieke toegang tot het apparaat vereist. Bijgevolg bevatten de gegevens in de inbreuk e-mails van mensen die hulp zochten bij het heimelijk volgen van hun partners, familieleden of kinderen.
Gevoelige informatie in gevaar
De mSpy-datalek legde niet alleen e-mails van klanten en supporttickets bloot, maar bracht ook het misbruik van de app door verschillende personen en instellingen aan het licht. Onder de gelekte gegevens bevonden zich verzoeken om ondersteuning van verschillende hoge Amerikaanse militairen, een Amerikaanse federale rechter van het hof van beroep en de waakhond van een Amerikaanse overheidsafdeling. Zelfs een sheriffkantoor van een county in Arkansas vroeg om een gratis licentie om de app te testen. Deze onthullingen benadrukken de gevoelige aard van de gecompromitteerde informatie en de mogelijke implicaties voor de betrokkenen.
TechCrunch‘s analyse van de gelekte dataset, die bestond uit meer dan 100 gigabyte aan Zendesk-records, onthulde dat veel van de e-mailadressen toebehoorden aan onwetende slachtoffers die het doelwit waren van mSpy-klanten. Sommige van deze personen waren journalisten, wetshandhavers en zelfs FBI-personeel dat op zoek was naar informatie over criminele verdachten. Deze inbreuk stelde daarom niet alleen de klanten van mSpy bloot, maar bracht ook mogelijk lopende onderzoeken en persoonlijke privacy in gevaar.
De gevolgen van mSpy-spyware
Ondanks de ernst van de mSpy-datalek heeft het bedrijf achter mSpy, Brainstack, het lek niet publiekelijk erkend of bekendgemaakt. Dit gebrek aan transparantie roept zorgen op over de aansprakelijkheid en verantwoordelijkheid van bedrijven die dergelijke gevoelige informatie verwerken. Troy Hunt, die de site Have I Been Pwned beheert, waar meldingen van datalekken worden gedaan, heeft ongeveer 2,4 miljoen unieke e-mailadressen van mSpy-klanten toegevoegd aan de catalogus van eerdere inbreuken op zijn site, wat de omvang van de gecompromitteerde gegevens nog eens benadrukt.
De mSpy-inbreuk is onderdeel van een bredere trend van spyware-operaties die het doelwit zijn van hackers. De inbreuk laat zien dat makers van spyware moeite hebben om hun gegevens te beveiligen, wat vragen oproept over de algemene beveiligingspraktijken van dergelijke bedrijven. Ondanks de prevalentie van deze inbreuken blijven spyware-applicaties een aanzienlijke gebruikersbasis aantrekken, vaak vanwege hun geheime aard en de gevoelige informatie waartoe ze toegang hebben.
Het bedrijf achter mSpy
Brainstack, het Oekraïense bedrijf achter mSpy, is grotendeels in de schaduw gebleven en ontloopt publieke controle, ondanks dat het een van de langstlopende telefoon-spywarediensten exploiteert. De gelekte gegevens onthulden echter de betrokkenheid van Brainstack bij de activiteiten van mSpy, en onthulden informatie over zijn werknemers en hun rollen. Veel van deze werknemers gebruikten valse namen bij het beantwoorden van vragen van klanten om hun identiteit te verbergen.
De mSpy-datalek, eerst bekendgemaakt door hacker Maia Arson Crimew en vervolgens beschikbaar gesteld door DDoSecrets, een transparantiecollectief, toonde de interne werking van Brainstack. Ondanks meerdere pogingen van TechCrunch om de leidinggevenden van Brainstack te bereiken voor commentaar, bleef het bedrijf stil, wat de zorgen over de verantwoordingsplicht verder aanwakkerde.
Juridische en ethische implicaties
De mSpy-datalek roept belangrijke juridische en ethische vragen op. Hoewel het kopen van spyware niet illegaal is, is het in veel rechtsgebieden wel illegaal om het te gebruiken om iemand te monitoren zonder zijn of haar toestemming. De gelekte gegevens omvatten e-mails van Amerikaanse autoriteiten en wetshandhavingsinstanties, die wijzen op mogelijk misbruik van de software zonder de juiste juridische procedures. Zo werd er bijvoorbeeld in een e-mail van het Office of the Inspector General for the Social Security Administration gevraagd naar het gebruik van mSpy voor strafrechtelijke onderzoeken, wat de vage grenzen tussen legaal gebruik en mogelijk misbruik aantoonde.
De inbreuk benadrukte ook het gebruik van mSpy door overheidsfunctionarissen en -agentschappen, wat zorgen opriep over de legaliteit en ethiek van dergelijke surveillancepraktijken. De blootgestelde gegevens wezen op de noodzaak van strengere regelgeving en toezicht op spywaretoepassingen om de privacy van individuen te beschermen en ongeautoriseerde surveillance te voorkomen.
Credits voor de hoofdafbeelding: mSpy
Source: Datalek bij mSpy treft miljoenen mensen en legt gevoelige informatie bloot
