mSpy, les fabricants d’un logiciel en tant que service douteux qui prétend aider plus de deux millions de personnes à espionner les appareils mobiles de leurs enfants et partenaires, semble avoir été massivement piraté. La semaine dernière, une énorme quantité de données apparemment volées sur les serveurs de l’entreprise a été publiée sur le Deep Web, exposant d’innombrables e-mails, SMS, données de paiement et de localisation sur un nombre indéterminé d' »utilisateurs » de mSpy.
mSpy n’a pas répondu aux multiples demandes de commentaires laissées à l’entreprise au cours des cinq derniers jours. BreachTrace a appris la violation apparente d’une source anonyme qui a partagé un lien vers une page Web accessible uniquement via Torune technologie qui aide les utilisateurs à masquer leur véritable adresse Internet et permet aux utilisateurs d’héberger des sites Web extrêmement difficiles à supprimer.
Le site basé sur Tor héberge plusieurs centaines de gigaoctets de données provenant d’appareils mobiles exécutant les produits de mSpy, dont quelque quatre millions d’événements enregistrés par le logiciel. Le message laissé par les pirates inconnus qui ont revendiqué la responsabilité de cette intrusion suggère que le vidage des données comprend des informations sur plus de 400 000 utilisateurs, y compris Identifiants Apple et les mots de passe, les données de suivi et les détails de paiement sur quelque 145 000 transactions réussies.
Le nombre exact d’utilisateurs mSpy compromis n’a pas pu être confirmé, mais une chose est claire : il y a une quantité folle de données personnelles et sensibles dans ce cache, y compris des photos, des données de calendrier, des fils de discussion d’entreprise et des conversations très privées. Le vidage de données comprend également des milliers d’e-mails de demande d’assistance de personnes du monde entier qui ont payé entre 8,33 $ et 799 $ pour une variété d’abonnements au logiciel de surveillance de mSpy.
On ne sait pas exactement où mSpy est basé ; le site Web de la société suggère qu’elle possède des bureaux aux États-Unis, en Allemagne et au Royaume-Uni, bien que la société ne semble pas indiquer d’adresse physique officielle. Cependant, selon les registres historiques d’enregistrement du site Web, la société est liée à une entreprise aujourd’hui disparue appelée MTechnology LTD hors du Royaume-Uni.
Documents obtenus auprès de Maison des Entreprisesun registre officiel des sociétés au Royaume-Uni, indiquent que les deux membres fondateurs de la société sont des programmeurs autoproclamés Alexeï Fedortchouk et Pavel Daletski. Ces documents (PDF) indiquent que Daletski est un citoyen britannique et que M. Fedorchuk est originaire de Russie. Aucun des deux hommes n’a pu être joint pour un commentaire.
Des documents judiciaires (PDF) obtenus auprès du tribunal de district américain de Jacksonville, en Floride, concernant un litige concernant une marque impliquant mSpy et Daletski indiquent que mSpy a une adresse basée aux États-Unis au 800 West El Camino Real, à Mountain View, en Californie. Ces mêmes documents judiciaires indiquent que Daletski est administrateur d’une société basée aux Seychelles appelée Groupe Bitex LTD. Fait intéressant, ce procès a été intenté par Studios Retina-Xun concurrent de mSpy basé à Jacksonville, en Floride, qui fabrique un produit appelé MobileSpy.
Les régulateurs et les forces de l’ordre américains ont une mauvaise opinion des entreprises qui offrent des services de logiciels espions mobiles comme mSpy. En septembre 2014, les autorités américaines arrêté un homme de 31 ans Hammad Akbar, le PDG d’une société basée à Lahore qui fabrique une application de logiciel espion appelée StealthGenie. Le FBI a noté que même si la société annonçait l’utilisation de StealthGenie pour « surveiller les employés et les proches tels que les enfants », le principal public cible était les personnes qui pensaient que leurs partenaires trichaient. Akbar a été accusé de vendre et de faire de la publicité pour du matériel d’écoute électronique.
« La publicité et la vente de technologies de logiciels espions constituent une infraction pénale, et une telle conduite sera poursuivie de manière agressive par ce bureau et nos partenaires chargés de l’application de la loi », L’avocate américaine Dana Boente a déclaré dans un communiqué de presse lié à l’acte d’accusation d’Akbar.
Akbar a plaidé coupable aux accusations en novembre 2014, et selon le ministère de la Justice, il est « la toute première personne à admettre une activité criminelle dans la publicité et la vente de logiciels espions qui envahissent les communications confidentielles d’une victime involontaire ».
Contrairement à StealthGenie d’Akbar et à certains autres logiciels espions mobiles, mSpy annonce que son produit fonctionne même sur iPhones non jailbreakésdonnant aux utilisateurs la possibilité d’enregistrer les contacts, les journaux d’appels, les messages texte, l’historique du navigateur, les événements et les notes du titulaire de l’appareil.
« Si vous avez choisi d’acheter mSpy sans Jailbreak et que vous disposez des informations d’identification iCloud de l’utilisateur mobile, vous n’aurez pas besoin d’un accès physique à l’appareil », indique la FAQ de l’entreprise. « Cependant, il peut y avoir des cas où un accès physique peut être nécessaire. Si vous achetez mSpy pour un téléphone ou une tablette iOS jailbreaké, vous aurez besoin de 5 à 15 minutes d’accès physique à l’appareil pour une installation réussie.
Un argumentaire de relations publiques de mSpy à BreachTrace en mars 2015 a déclaré qu’environ 40 % des utilisateurs de l’entreprise sont des parents intéressés à garder un œil sur leurs enfants. En supposant que ce soit une affirmation vraie, il est ironique que tant de parents aient maintenant involontairement exposé leurs enfants à des prédateurs, des intimidateurs et d’autres vauriens grâce à cette brèche.