Технологии
Дамир Камалетдинов

Компания-разработчик программ для слежки за чужими смартфонами хранила данные миллионов клиентов в открытом доступе

Любой, кто обнаружил базу данных, мог ей воспользоваться: для этого даже не нужно было ничего взламывать.

Исследователь Нитиш Шах (Nitish Shah) обнаружил в открытом доступе базу данных с персональной информацией о двух миллионах клиентах компании mSpy и жертвах слежки. Это уже вторая крупная утечка данных mSpy за последние три года.

Данные пользователей mSpy, скриншот KrebsonSecurity

Шах рассказал, что онлайн база данных mSpy не требовала никакой аутентификации — ей мог воспользоваться любой человек без логина и пароля. По его словам, там содержались одновременно и сведения о тех, кто пользовался услугами компании для слежки и о жертвах наблюдения.

Исследователь отметил, что в базе данных были «миллионы записей», включая имена, почты, логины, пароли и приватные ключи шифрования пользователей сервиса mSpy за последние полгода. Как отметило издание Gizmodo, таким образом, пока клиенты компании следили за другими людьми, за ними тоже могли шпионить.

Любой, кто нашёл базу данных, мог зайти в чужой профиль и узнать, за кем тот наблюдает. В базе также содержались ключи, позволяющие получить доступ к любому мобильному устройству, на который устанавливали ПО mSpy, и, например, прочитать сообщения в WhatsApp и Facebook Messenger. Доступ к базе данных закрыли после того, как исследователь уведомил компанию о проблеме.

Неизвестно, успел ли кто-то помимо Шаха воспользоваться уязвимостью. В mSpy отметили, что данные клиентов «надёжно зашифрованы» и только несколько человек могли получить к ним доступ.

mSpy известна по разработке программ для наблюдения за устройствами пользователей. Она продвигает свои сервисы как средства «родительского контроля», однако неизвестно, сколько клиентов используют средства слежки именно в этих целях.

Компания не впервые допускает утечки персональных данных. В 2015 году всего за несколько недель в сервисе нашли сразу две серьёзных бреши безопасности, а данные клиентов попали в даркнет. Тогда компания сначала отрицала уязвимости, но затем заявила, что стала жертвой хакеров-шантажистов и отказалась платить выкуп.

#безопасность #технологии