Bir hacktivist, tüketici düzeyindeki “stalkerware” telefon gözetim uygulamalarını sağlayan bir firmadan yarım milyondan fazla ödeme kaydını ele geçirerek, başkalarını izlemek için ödeme yapan müşterilerin e-posta adreslerini ve kısmi ödeme bilgilerini ifşa etti.
Kaydedilen işlemler, Geofinder ve uMobix gibi telefon izleme hizmetlerine ait ödemeleri, ayrıca özel Instagram hesaplarına erişim sağladığı iddia edilen Peekviewer (önceden Glassagram) gibi hizmetleri ve bu tedarikçisi Struktura adlı Ukraynalı şirkete ait diğer izleme ve takip uygulamalarını içermektedir.
Müşteri verileri, 2022 yılında yüklü Android cihazlar ve iPhone’lardan pek çok insanın özel bilgilerini sızdıran tanınmış bir telefon gözetim uygulaması olan Xnspy’dan da işlem kayıtlarını içermektedir.
Bu, güvenlik açıkları nedeniyle bir izleme tedarikçisinin müşteri bilgilerini ifşa etmesinin en son örneği. Son yıllarda birçok stalkerware uygulaması hacklendi veya insanların, çoğu zaman kurbanların kendileri olan, özel verileri kaybetmesine, sızdırmasına veya ifşa etmesine neden olan zayıf siber güvenlik nedeniyle sorunlar yaşadı.
Bize Ulaşın
Zack Whittaker’a güvenli bir şekilde ulaşmak için Signal üzerinden zackwhittaker.1337 kullanıcısı ile iletişime geçebilirsiniz. Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde iletişim için Signal numarası +1 917 257 1382, ayrıca Telegram, Keybase ve Wire üzerinden @lorenzofb, veya e-posta yoluyla ulaşabilirsiniz.
uMobix ve Xnspy gibi stalkerware uygulamaları, birinin telefonuna yüklendiğinde, kurbanın özel verilerini, arama kayıtları, metin mesajları, fotoğraflar, tarayıcı geçmişi ve tam konum bilgisi dahil olmak üzere yükleyerek, bu verileri uygulamayı yükleyen kişiyle paylaşmaktadır.
uMobix ve Xnspy gibi uygulamalar, açıkça, hizmetlerini eşlerine ve ev ortaklarına casusluk yapmaları için pazarlamaktadır ki bu yasadışıdır.
Görüntülenen veriler, yaklaşık 536,000 müşteri e-posta adresi, müşterinin hangi uygulama veya marka için ödeme yaptığını, ne kadar ödendiğini, ödeme kartı türünü (Visa veya Mastercard gibi) ve karttaki son dört haneyi içermekteydi. Müşteri kayıtları ödeme tarihlerine yer vermemekteydi.
TechCrunch, verilerin doğruluğunu, kamuya açık gelen kutularla kullanılan geçici e-posta adreslerini içeren birkaç işlem kaydını, çeşitli gözetim uygulamalarının sunduğu şifre sıfırlama portallarında çalıştırarak doğruladı. Kamuya açık e-posta adresleriyle bağlantılı hesapların şifrelerini sıfırlayarak, bunların gerçek hesaplar olduğunu belirleyebildik.
Ayrıca, sızdırılan veri setindeki her işlemin benzersiz faturası numarasını, izleme tedarikçisinin ödeme sayfalarıyla eşleştirerek de doğruladık. Bunu, ödeme sayfasının, şifre gerektirmeden sunucudan aynı müşteri ve işlem verilerini almasına olanak tanımasından dolayı gerçekleştirebildik.
Hacker takma adı “wikkid” olan hacktivist, TechCrunch’a, stalkerware tedarikçisinden verileri, web sitesindeki “basit” bir hata sayesinde elde ettiğini belirtti. Hacktivist, “insanları izlemek için kullanılan uygulamaları hedef almanın eğlenceli olduğunu” ve elde ettiği verileri bilinen bir hacker forumunda yayımladığını açıkladı.
Hacker forumundaki liste, izleme tedarikçisini Ersten Group olarak tanıtarak, kendisini Birleşik Krallık merkezli bir yazılım geliştirme girişimi olarak göstermektedir.
TechCrunch, veri setindeki bazı e-posta adreslerinin test ve müşteri desteği için kullanıldığını, ancak Struktura ile bağlantı kurduğunu buldu; Struktura, Ersten Group ile aynı web sitesine sahip bir Ukraynalı şirkettir. Veri setindeki en eski kayıt, Struktura’nın CEO’su Viktoriia Zosim’in e-posta adresini, 1 dolarlık bir işlem için içermektedir.
Ersten Group yetkilileri, yorum taleplerimize yanıt vermedi. Struktura’nın Zosim’i de yorum talebine dönüş yapmadı.
