ハクティビストが、ウクライナの企業が提供する消費者向けストーカーウェアの支払い記録を50万件以上取得し、公開したと発表しました。この情報には、他人を監視するために支払いを行った顧客のメールアドレスや一部の支払い情報が含まれているということです。
この取引記録には、GeofinderやuMobixといった電話追跡サービスの支払い記録や、Peekviewer(旧Glassagram)などのインスタグラムのプライベートアカウントにアクセスできるとされるサービスも含まれています。これらはすべて、ウクライナの企業Strukturaが提供する監視アプリです。
顧客データには、Xnspyという電話監視アプリの取引記録も含まれており、このアプリは2022年に多数のAndroidデバイスやiPhoneから個人データを漏洩させたことが知られています。
この事例は、監視ベンダーが顧客情報をセキュリティの欠陥により露出させる最新の例です。過去数年間で、多くのストーカーウェアアプリがハッキングされ、個人データが漏洩する事件が発生しています。
uMobixやXnspyのようなストーカーウェアアプリは、ターゲットの電話にインストールされると、通話記録やテキストメッセージ、写真、閲覧履歴、正確な位置情報をアップロードし、アプリを仕掛けた人に共有します。これらのアプリは、配偶者やパートナーを監視するためのものであるとして宣伝されており、これは違法です。
TechCrunchが確認したデータには、約53万6000件の顧客のメールアドレス、支払いを行ったアプリやブランド、支払い金額、支払いカードの種類(VisaやMastercardなど)、カードの下4桁が含まれていました。支払いの日付は含まれていないということです。
TechCrunchは、使い捨てメールアドレスを含むいくつかの取引記録を確認し、各監視アプリのパスワードリセットポータルを通じてこれらが実際のアカウントであることを確認しました。また、漏洩したデータセットの各取引の請求書番号を監視ベンダーのチェックアウトページと照合し、データの信憑性を確認しました。
ハクティビスト「wikkid」は、ウェブサイトの「些細な」バグを利用してデータを取得したとTechCrunchに語り、その後、取得したデータをハッキングフォーラムに公開しました。このフォーラムでは、監視ベンダーをErsten Groupとしてリストしていますが、実際にはStrukturaというウクライナの企業であることが判明しました。
Ersten Groupの代表者はコメントの要請に応じず、Strukturaの代表者もコメントを返していません。