Ακτιβιστής χάκερ υπέκλεψε περισσότερα από μισό εκατομμύριο αρχεία πληρωμών από πάροχο εφαρμογών παρακολούθησης τύπου «stalkerware», εκθέτοντας διευθύνσεις email και περιορισμένα στοιχεία πληρωμών πελατών που κατέβαλαν χρήματα για την κατασκοπεία τρίτων.
Σύμφωνα με στοιχεία που εξέτασε το TechCrunch, τα δεδομένα αφορούν συναλλαγές για υπηρεσίες όπως Geofinder και uMobix, καθώς και για το Peekviewer (πρώην Glassagram), το οποίο διαφημίζεται ως εργαλείο πρόσβασης σε ιδιωτικούς λογαριασμούς Instagram. Οι υπηρεσίες αυτές, μαζί με άλλες εφαρμογές παρακολούθησης και καταγραφής, αποδίδονται στον ίδιο προμηθευτή, ουκρανική εταιρεία με την επωνυμία Struktura.
Στο διαρρεύσαν σύνολο περιλαμβάνονται επίσης αρχεία συναλλαγών από το Xnspy, γνωστή εφαρμογή παρακολούθησης τηλεφώνων, η οποία το 2022 είχε εκθέσει προσωπικά δεδομένα από δεκάδες χιλιάδες συσκευές Android και iPhone. Το περιστατικό εντάσσεται σε μια μακρά αλυσίδα παραβιάσεων στον χώρο του stalkerware, όπου προμηθευτές εκθέτουν συστηματικά δεδομένα πελατών και θυμάτων λόγω σοβαρών ελλείψεων κυβερνοασφάλειας.
Εφαρμογές όπως uMobix και Xnspy, όταν εγκατασταθούν σε μια συσκευή, αποσπούν δεδομένα του θύματος - αρχεία κλήσεων, μηνύματα, φωτογραφίες, ιστορικό περιήγησης και ακριβή δεδομένα τοποθεσίας - και τα καθιστούν προσβάσιμα στο άτομο που τις εγκατέστησε. Οι ίδιες εταιρείες έχουν προωθήσει τις υπηρεσίες τους για παρακολούθηση συντρόφων ή συζύγων, πρακτική που είναι παράνομη.
Το σύνολο δεδομένων περιλάμβανε περίπου 536.000 εγγραφές με διευθύνσεις email πελατών, την εφαρμογή ή επωνυμία που αγόρασαν, το ποσό πληρωμής, τον τύπο κάρτας (Visa, Mastercard κ.ά.) και τα τέσσερα τελευταία ψηφία της κάρτας. Δεν περιλαμβάνονταν ημερομηνίες πληρωμών.
Το TechCrunch επιβεβαίωσε τη γνησιότητα των δεδομένων τόσο μέσω δοκιμών επαναφοράς κωδικών πρόσβασης σε λογαριασμούς που συνδέονταν με δημόσιες διευθύνσεις email, όσο και μέσω αντιστοίχισης μοναδικών αριθμών τιμολογίων με τις σελίδες ολοκλήρωσης αγοράς του προμηθευτή, οι οποίες επέτρεπαν την ανάκτηση στοιχείων χωρίς έλεγχο ταυτότητας.
Ο hacktivist, με το ψευδώνυμο «wikkid», δήλωσε ότι εκμεταλλεύτηκε «τετριμμένο» σφάλμα στον ιστότοπο του προμηθευτή και δημοσίευσε τα δεδομένα σε γνωστό φόρουμ hacking.
Στην ανάρτηση αναφερόταν η Ersten Group ως πάροχος, ωστόσο το TechCrunch εντόπισε ενδείξεις σύνδεσης με τη Struktura, καθώς δοκιμαστικές και υποστηρικτικές διευθύνσεις email στο σύνολο δεδομένων παρέπεμπαν στην ουκρανική εταιρεία. Η παλαιότερη καταγραφή περιείχε διεύθυνση της διευθύνουσας συμβούλου της Struktura, Viktoriia Zosim, για συναλλαγή ύψους 1 δολαρίου.
