La semaine dernière, BreachTrace a annoncé que des données sensibles auraient été volées à des centaines de milliers de clients. fabricant de logiciels espions mobiles mSpy avait été mis en ligne. mSpy a depuis été cité deux fois par d’autres publications niant une violation de ses systèmes. Pendant ce temps, ce blog a depuis contacté plusieurs personnes dont les données ont été publiées sur le Web profond, qui ont toutes confirmé qu’elles étaient des clients actifs ou anciens de mSpy.
mSpy a déclaré à BBC News il avait été victime d’une « attaque prédatrice » par des maîtres chanteurs, mais a déclaré qu’il n’avait pas cédé aux demandes d’argent. mSpy a également déclaré à la BBC que les affirmations selon lesquelles les pirates avaient piraté ses systèmes et que les données volées étaient fausses.
« Il n’y a pas de données sur 400 000 de nos clients sur le Web », a déclaré une porte-parole de la société à la BBC. « Nous pensons avoir été victime d’une attaque prédatrice, visant à tirer parti de nos réalisations commerciales estimées. »
Analysons cette déclaration un peu plus loin. Non, les dossiers volés ne sont pas sur le Web ; au lieu de cela, ils ont été publiés sur divers sites sur le Deep Web, qui n’est accessible qu’en utilisant Tor. De plus, je ne doute pas que mSpy ait été la cible de tentatives d’extorsion ; le fait que l’entreprise n’a pas payé l’extorqueur est probablement à l’origine de la mise en ligne des données de ses clients.
Comment suis-je sûr de cela, étant donné que mSpy a toujours pas répondu aux demandes de commentaires ? J’ai passé la majeure partie de la journée aujourd’hui à extraire les enregistrements des clients à partir des centaines de gigaoctets de données divulguées par mSpy. J’ai parlé avec plusieurs clients dont le paiement et les données personnelles – et celles de leurs enfants, employés et autres personnes importantes – étaient incluses dans l’énorme cache. Tous ont confirmé qu’ils étaient ou étaient récemment des clients payants de mSpy.
Joe Natoli, directeur d’un fournisseur de soins à domicile en Arizona, a confirmé ce qui était clair en regardant les données divulguées – qu’il avait payé mSpy des centaines de dollars par mois pour un abonnement pour surveiller tous les appareils mobiles distribués aux employés par son entreprise. Natoli a déclaré que tous les employés acceptaient la surveillance lors de leur embauche, mais qu’il n’avait utilisé mSpy que pendant environ quatre mois.
« La proposition de valeur pour le coût n’a pas fonctionné », a déclaré Natoli.
Catherine TillLes informations de figuraient également dans les données divulguées. Till a confirmé qu’elle et son mari avaient payé mSpy pour surveiller l’appareil mobile de leur fille de 14 ans et étaient toujours un client payant au moment de mon appel.
Till a ajouté qu’elle n’était pas au courant d’une brèche et qu’elle était troublée que mSpy puisse essayer de la dissimuler.
« C’est dérangeant, car qui sait ce que quelqu’un pourrait faire avec toutes ces données de son téléphone », a déclaré Till., notant qu’elle et son mari avaient tous deux discuté du logiciel de surveillance avec leur fille. «En tant que parents, il est difficile de suivre et d’enseigner aux enfants tout le temps ce qu’ils peuvent et ne peuvent pas faire. Je suis sûr qu’il y a beaucoup plus de gens comme nous qui sont dans cette situation maintenant.
Un autre utilisateur dont les données financières et personnelles se trouvaient dans le cache a demandé à ne pas être identifié, mais a confirmé timidement qu’il avait payé mSpy pour surveiller secrètement l’appareil mobile d’un « ami ».
Mise à jour, 22 mai, 10h24 : mSpy est enfin admettant qu’il y a eu une violation qui a exposé les informations des clients, mais ils minimisent toujours les chiffres.
RÉACTION SUR LA COLLINE DU CAPITOLE
La nouvelle de la violation de mSpy a suscité de nouveaux appels de Le sénateur Al Franken pour avoir interdit des produits comme mSpy, que le démocrate du Minnesota qualifie d' »applications de harcèlement ». Dans une lettre (PDF) envoyé cette semaine au Département américain de la justice et Commission fédérale du commerceFranken a exhorté les agences à enquêter sur mSpy, dont il a qualifié les produits de « profondément troublants » et « rien de moins que terrifiants » lorsqu’ils sont « entre les mains d’un harceleur ou d’un partenaire intime abusif ».
L’année dernière, Franken réintroduit La Location Privacy Protection Act de 2014, une législation qui interdirait le développement, l’exploitation et la vente de tels produits.
Les régulateurs et les forces de l’ordre américains ont une mauvaise opinion des entreprises qui offrent des services de logiciels espions mobiles comme mSpy. En septembre 2014, les autorités américaines arrêté un homme de 31 ans Hammad Akbar, le PDG d’une société basée à Lahore qui fabrique une application de logiciel espion appelée StealthGenie. Le FBI a noté que même si la société annonçait l’utilisation de StealthGenie pour « surveiller les employés et les proches tels que les enfants », le principal public cible était les personnes qui pensaient que leurs partenaires trichaient. Akbar a été accusé de vendre et de faire de la publicité pour du matériel d’écoute électronique.
« La publicité et la vente de technologies de logiciels espions constituent une infraction pénale, et une telle conduite sera poursuivie de manière agressive par ce bureau et nos partenaires chargés de l’application de la loi », L’avocate américaine Dana Boente a déclaré dans un communiqué de presse lié à l’acte d’accusation d’Akbar.
Akbar a plaidé coupable aux accusations en novembre 2014, et selon le ministère de la Justice, il est « la toute première personne à admettre une activité criminelle dans la publicité et la vente de logiciels espions qui envahissent les communications confidentielles d’une victime involontaire ».