Na semana passada, um hacker desconhecido invadiu os servidores do fabricante de stalkerware pcTattletale, com sede nos EUA. O hacker então roubou e vazou os dados internos da empresa. Eles também desfiguraram o site oficial da pcTattletale com o objetivo de constranger a empresa.
“Isso levou um total de 15 minutos após a leitura do artigo do techcrunch”, escreveram os hackers na desfiguração, referindo-se a um artigo recente do TechCrunch onde relatamos que o pcTattletale foi usado para monitorar vários computadores de check-in da recepção em hotéis Wyndham nos Estados Unidos. Estados.
Como resultado dessa operação de hack, vazamento e vergonha, o fundador da pcTattletale, Bryan Fleming, disse que estava fechando sua empresa.
Aplicativos de spyware de consumo, como o pcTattletale, são comumente chamados de stalkerware porque cônjuges e parceiros ciumentos os usam para monitorar e vigiar sub-repticiamente seus entes queridos. Estas empresas muitas vezes comercializam explicitamente os seus produtos como soluções para capturar parceiros trapaceiros, incentivando comportamentos ilegais e antiéticos. E houve vários processos judiciaisinvestigações jornalísticas e pesquisas em abrigos para vítimas de violência doméstica que mostram que a perseguição e a monitorização online podem levar a casos de danos e violência no mundo real.
E é por isso que os hackers atacaram repetidamente algumas dessas empresas.
De acordo com a contagem do TechCrunch, com este último hack, a pcTattletale se tornou a 20ª empresa de stalkerware desde 2017 que foi hackeada ou vazou dados de clientes e vítimas online. Isso não é um erro de digitação: vinte empresas de stalkerware foram hackeadas ou tiveram uma exposição significativa de dados nos últimos anos. E três empresas de stalkerware foram hackeadas diversas vezes.
Eva Galerpin, diretora de segurança cibernética da Electronic Frontier Foundation e pesquisadora e ativista líder que investiga e combate o stalkerware há anos, disse que a indústria do stalkerware é um “alvo fácil”. “As pessoas que dirigem essas empresas talvez não sejam as mais escrupulosas ou realmente preocupadas com a qualidade de seus produtos”, disse Galperin ao TechCrunch.
Dado o histórico de comprometimentos com stalkerware, isso pode ser um eufemismo. E devido à falta de cuidado em proteger os seus próprios clientes — e consequentemente os dados pessoais de dezenas de milhares de vítimas involuntárias — a utilização destas aplicações é duplamente irresponsável. Os clientes do stalkerware podem estar infringindo a lei, abusando de seus parceiros ao espioná-los ilegalmente e, ainda por cima, colocando os dados de todos em perigo.
Uma história de hacks de stalkerware
A enxurrada de violações de stalkerware começou em 2017, quando um grupo de hackers violou o Retina-X com sede nos EUA e a FlexiSpy baseado na Tailândia de volta para trás. Esses dois hacks revelaram que as empresas tinham um número total de 130 mil clientes em todo o mundo.
Na altura, os hackers que – orgulhosamente – assumiram a responsabilidade pelos compromissos disseram explicitamente que as suas motivações eram expor e, esperançosamente, ajudar a destruir uma indústria que consideravam tóxica e antiética.
“Vou queimá-los e não deixar nenhum lugar onde nenhum deles possa se esconder”, disse um dos hackers envolvidos ao Motherboard.
Referindo-se ao FlexiSpy, o hacker acrescentou: “Espero que eles desmoronem e falhem como empresa, e que tenham algum tempo para refletir sobre o que fizeram. No entanto, temo que eles possam tentar renascer sob uma nova forma. Mas se o fizerem, eu estarei lá.”
Apesar do hack e de anos de atenção negativa do público, o FlexiSpy ainda está ativo hoje. O mesmo não pode ser dito sobre o Retina-X.
O hacker que invadiu o Retina-X limpou seus servidores com o objetivo de dificultar suas operações. A empresa se recuperou – e então foi hackeado novamente um ano depois. Algumas semanas após a segunda violação, Retina-X anunciou que estava fechando.
Poucos dias após a segunda violação do Retina-X, hackers atingiram Mobistealth e Spy Master Pro, roubando gigabytes de registros de clientes e empresas, bem como mensagens interceptadas e localizações GPS precisas das vítimas. Outro fornecedor de stalkerware, o SpyHuman com sede na Índiaencontrou o mesmo destino alguns meses depois, com hackers roubando mensagens de texto e metadados de chamadas, que continham registros de quem ligou para quem e quando.
Semanas depois, houve o primeiro caso de exposição acidental de dados, em vez de hack. SpyFone deixou um balde de armazenamento S3 hospedado na Amazon desprotegido online, o que significava que qualquer pessoa poderia ver e baixar mensagens de texto, fotos, gravações de áudio, contatos, localização, senhas embaralhadas e informações de login, mensagens do Facebook e muito mais. Todos esses dados foram roubados das vítimas, a maioria das quais não sabia que estava sendo espionada, e muito menos sabia que seus dados pessoais mais confidenciais também estavam na Internet para todos verem.
Outras empresas de stalkerware que ao longo dos anos deixaram irresponsavelmente dados de clientes e vítimas online são a FamilyOrbit, que deixou 281 gigabytes de dados pessoais online protegido apenas por uma senha fácil de encontrar; mSpy, que vazou mais de 2 milhões de registros de clientes; Xnore, que permitir que qualquer um de seus clientes veja os dados pessoais dos alvos de outros clientes, que incluía mensagens de bate-papo, coordenadas GPS, e-mails, fotos e muito mais; Mobiispy, que deixou 25 mil gravações de áudio e 95 mil imagens em um servidor acessível a qualquer pessoa; KidsGuard, que tinha um servidor mal configurado que vazava conteúdo das vítimas; pcTattletale, que antes de seu hack também capturas de tela expostas dos dispositivos das vítimas carregadas em tempo real para um site que qualquer pessoa poderia acessar; e o Xnspy, cujos desenvolvedores deixaram credenciais e chaves privadas no código dos aplicativos, permitindo que qualquer pessoa acesse os dados das vítimas.
No que diz respeito a outras empresas de stalkerware que foram hackeadas, houve a Copy9, que viu um hacker rouba os dados de todos os seus alvos de vigilância, incluindo mensagens de texto e mensagens do WhatsApp, gravações de chamadas, fotos, contatos e histórico de navegação; LetMeSpy, que fechou depois que hackers invadiram e limparam seus servidores; o WebDetetive, com sede no Brasil, que também teve seus servidores apagados, e então hackeado novamente; OwnSpy, que fornece grande parte do software de backend para WebDetetive, também foi hackeado; Spyhide, que tinha uma vulnerabilidade em seu código que permitia a um hacker acessar bancos de dados back-end e anos de dados roubados de cerca de 60.000 vítimas; e Oospy, que foi uma reformulação da marca Spyhide, fechou pela segunda vez.
Finalmente, há o TheTruthSpy, uma rede de aplicativos stalkerware, que detém o registro duvidoso de ter sido hackeado ou ter vazado dados em pelo menos três ocasiões distintas.
Hackeado, mas sem arrependimento
Destas 20 empresas de stalkerware, oito fecharam, de acordo com a contagem do TechCrunch.
Num primeiro e até agora único caso, a Comissão Federal de Comércio proibiu a SpyFone e o seu presidente-executivo, Scott Zuckerman, de operar na indústria de vigilância após uma falha de segurança anterior que expôs os dados das vítimas. Outra operação de stalkerware ligada a Zuckerman, chamada SpyTrac, foi posteriormente encerrada após uma investigação do TechCrunch.
PhoneSpector e Highster, outras duas empresas que não são conhecidas por terem sido hackeadas, também fecharam depois que o procurador-geral de Nova York acusou as empresas de encorajarem explicitamente os clientes a usarem seu software para vigilância ilegal.
Mas o fechamento de uma empresa não significa que ela desaparecerá para sempre. Tal como acontece com o Spyhide e o SpyFone, alguns dos mesmos proprietários e desenvolvedores por trás de um fabricante de stalkerware fechado simplesmente mudaram de nome.
“Eu realmente acho que esses hacks fazem coisas. Eles realizam coisas, eles prejudicam isso”, disse Galperin. “Mas se você acha que se hackear uma empresa de stalkerware, eles simplesmente agitarão os punhos, amaldiçoarão seu nome, desaparecerão em uma nuvem de fumaça azul e nunca mais serão vistos, esse definitivamente não foi o caso.”
“O que acontece com mais frequência, quando você consegue matar uma empresa de stalkerware, é que a empresa de stalkerware surge como cogumelos depois da chuva”, acrescentou Galperin.
Há algumas boas notícias. Em um relatório do ano passado, a empresa de segurança Malwarebytes disse que o uso de stalkerware está diminuindo, de acordo com dados próprios de clientes infectados com este tipo de software. Além disso, Galperin relata ter visto um aumento nas avaliações negativas desses aplicativos, com clientes ou clientes em potencial reclamando que eles não funcionam como esperado.
Mas Galperin disse que é possível que as empresas de segurança não sejam tão boas na detecção de stalkerware como costumavam ser, ou os stalkers passaram da vigilância baseada em software para a vigilância física habilitada por AirTags e outros rastreadores habilitados para Bluetooth.
“O Stalkerware não existe no vácuo. O Stalkerware faz parte de todo um mundo de abusos possibilitados pela tecnologia”, disse Galperin.
Diga não ao stalkerware
Usar spyware para monitorar seus entes queridos não é apenas antiético, mas também ilegal na maioria das jurisdições, pois é considerado vigilância ilegal.
Essa já é uma razão significativa para não usar stalkerware. Depois, há a questão de que os fabricantes de stalkerware provaram repetidamente que não conseguem manter os dados seguros – nem os dados pertencentes aos clientes, nem às suas vítimas ou alvos.
Além de espionar parceiros românticos e cônjuges, algumas pessoas usam aplicativos de stalkerware para monitorar seus filhos. Embora esse tipo de uso, pelo menos nos Estados Unidos, seja legal, isso não significa que usar stalkerware para bisbilhotar o telefone de seus filhos não seja assustador e antiético.
Mesmo que seja legal, Galperin acha que os pais não devem espionar os filhos sem avisar e sem o seu consentimento.
Se os pais informarem os filhos e obtiverem autorização, os pais devem ficar longe de aplicativos de stalkerware inseguros e não confiáveis e usar ferramentas de rastreamento parental integradas. Telefones e tablets Apple e Dispositivos Android que são mais seguros e operam abertamente.
Se você ou alguém que você conhece precisa de ajuda, a Linha Direta Nacional de Violência Doméstica (1-800-799-7233) oferece suporte gratuito e confidencial 24 horas por dia, 7 dias por semana, às vítimas de abuso doméstico e violência. Se você estiver em uma situação de emergência, ligue para o 911. O Coalizão Contra Stalkerware tem recursos se você acha que seu telefone foi comprometido por spyware.
Link do Autor
