Il y a toute une industrie louche pour les personnes qui veulent surveiller et espionner leur famille. Plusieurs applications font que les fabricants commercialisent leur logiciel – parfois appelé Stalkerware – à des partenaires jaloux qui peuvent utiliser ces applications pour accéder à la remotalie des téléphones de leur victime.
Pourtant, malgré la sensibilité de ces données, un nombre supplémentaire de ces entreprises perd un énorme amour.
Selon le Tally de TechCrunch, en comptant la dernière pause de données de SPYX, il y a eu au moins 25 sociétés de stalkerware Sincere 2017 qui sont connues pour avoir été piratées, ou divulguées les données des clients et victimes en ligne. Ce n’est pas une faute de frappe: au moins 25 sociétés de Stalkerware ont été piratées ou ont eu une exposition de données importante ces dernières années. Et quatre sociétés Stalkerware ont été piratées plusieurs fois.
SPYX est le dernier fournisseur de stalkerware que cette année avait été violé, bien que la violation elle-même remonte à la mi-2024. La violation révèle que la famille d’applications Spyx a compromis les données du téléphone privé de près de deux millions de victimes au moment de sa violation.
La violation de Spyx intervient après les expositions de données des opérations de surveillance Spyzie, cocospy et spyiques qui ont laissé des messages, des photos, des journaux d’appels et d’autres données personnelles et sensibles de millions de victimes exposées en ligne, selon un chercheur en sécurité qui a trouvé un bogue qui leur a permis d’accéder à cela.
Avant cette année, il y a eu au moins quatre hacks massifs de Stalkerware en 2024. La dernière violation de Stalkerware en 2024 a affecté SpyTech, un fabricant de logiciels espions peu connue basé au Minnesota, qui a exposé les journaux d’activités des téléphones et des ordinateurs surveillés avec des logiciels espions. Avant cela, il y a eu une brèche chez MSPY, l’une des applications Stalkerware les plus anciennes, qui a exposé des millions de billets de support client, qui comprennent les données personnelles de millions de ses clients.
Auparavant, un pirate inconnu a fait irruption dans les serveurs du fabricant de Stalkerware basé aux États-Unis Pctattletale. Le pirate a ensuite volé et divulgué les données internes de l’entreprise. Ils ont également dégradé le site officiel de Pctattletale dans le but d’embarrasser l’entreprise. Le pirate a remis sur un récent article de TechCrunch où nous avons signalé que Pctattletaletale a été utilisé pour surveiller plusieurs ordinateurs d’enregistrement de la réception à la chaîne hôtelière américaine.
À la suite de cette opération de hack, de fuite et de honte, le fondateur de Pctattletale, Bryan Fleming, a déclaré qu’il fermait son entreprise.
Les applications spywares de consommation comme Spyx, CocoSpy, MSPy et Pctattletale sont généralement réaménagées en tant que «Stalkerware» (ou Sweware) parce que les conjoints et les partenaires jaloux les utilisent trop pour surveiller et surveiller trop leurs proches.
Ces entreprises commercialisent souvent explicitement leurs produits comme des solutions pour attraper des partenaires de triche en encourageant un comportement illégal et athique. Et il y a eu plusieurs courtes boîtes, des enquêtes journalistiques et des super-séquences d’abris de violence domestique qui montrent que le harcèlement et la surveillance en ligne peuvent entraîner des boîtes de préjudice et de violence réels.
Et c’est pourquoi Havers a ciblé à plusieurs reprises certaines de ces sociétés.
Eva Galperin, directrice de la cybersécurité de la Fondation Electronic Frontier et chercheuse et activiste de premier plan qui a enquêté et a fouturé Stalkerware pendant des années, a déclaré que l’industrie du stalkerware est « une cible douce ».
«Les personnes qui dirigent ces entreprises ne sont peut-être pas les plus éprouvantes ou vraiment préoccupées par la qualité de leur produit», a déclaré Galperin à TechCrunch.
Compte tenu de l’histoire des compromis Staley, cela peut être une sous-mission. Et parce que le manque de soins pour protéger leurs propres clients – et par conséquent les données personnelles de dizaines de milliers de victimes involontaires – l’utilisation de ces applications est doublement irresponsable. Les clients de Stalkerware peuvent enfreindre la loi, abusant de leurs partenaires en les espérant illégalement et, en plus de cela, en mettant les données de chacun en danger.
Une histoire des hacks de stalkerware
La vague de violations de Stalkerware a commencé en 2017 lorsqu’un groupe de pirates a violé la Retina-X basée aux États-Unis et la Flexispy basée en Thaïlande. Ces deux hacks ont révélé que les entreprises avaient un nombre total de 130 000 clients du monde entier.
À l’époque, les pirates qui – fièrement – ont revendiqué la responsabilité des compromis ont explicitement déclaré que leurs motivations étaient d’exposer et, espérons-le, aider à détruire un industriel qu’ils considèrent toxique et athique.
«Je vais les brûler au sol et partir absolument nulle part pour que l’un d’entre eux se cache», l’un des pirates a été intouché puis a dit à Motherboard.
Référençant à Flexispy, le pirate a ajouté: «Je saute qu’ils s’effondreront et échoueront en tant qu’entreprise, et ont un peu de temps pour réfléchir à ce qu’ils ont fait. Cependant, je crains qu’ils puissent essayer de donner naissance à eux à nouveau sous une nouvelle forme.
Malgré le hack et des années de prudence du public négatif, Flexispy est toujours actif aujourd’hui. On ne peut pas en dire autant de Retina-X.
Le pirate qui a fait irruption dans Retina-X a essuyé ses serveurs dans le but de gêner ses opérations. L’entreprise a bourré – puis elle a été piratée un an plus tard. Quelques semaines après la deuxième pause, Retina-X a annoncé qu’elle s’arrêtait.
Quelques jours seulement après la deuxième violation de Retina-X, les pirates ont frappé Mobistealth et Spy Master Pro, volant des gigaoctets de dossiers clients et commerciaux, ainsi que des messages interceptés des victimes et des locations GPS précises. Un autre fournisseur de Stalkerware, le Spyhuman basé en Inde, a rencontré le même sort quelques mois plus tard, les pirates volant des messages texte et appellent des métadonnées, qui contenaient des journaux de qui a appelé qui et quand.
Quelques semaines plus tard, il y a eu le premier cas d’exposition accidentelle aux données, plutôt qu’un hack. SpyFone a laissé un seau de stockage S3 hébergé par Amazon en ligne, ce qui signifiait que n’importe qui pouvait voir et télécharger des messages texte, des photos, des enregistrements audio, des contacts, de la location, des mots de passe brouillés et des informations de connexion, des messages Facebook et plus encore. Toutes ces données ont été volées aux victimes, dont la plupart ne savaient pas qu’elles étaient espionnées, et encore moins leurs données personnelles les plus sensibles étaient Internet pour tous.
D’autres sociétés de Stalkerware qui au fil des ans ont laissé de manière irresponsable les données des clients et des victimes en ligne sont Familybit, qui ont laissé 281 gigaoctets de données personnelles en ligne protégés uniquement par un mot de passe facile à trouver; MSPY, qui a divulgué plus de 2 millions de dossiers clients en 2018; Xnore, qui permettent à l’un de ses clients de voir les données personnelles des cibles des autres clients, qui comprenaient des messages de chat, des coordonnées, des e-mails, des photos et plus encore; Mobiispy, qui a laissé 25 000 enregistrements audio et 95 000 images sur le serveur accessibles à quiconque; KidsGuard, qui avait un serveur erroné qui a divulgué le contenu de la victime; Pctatttletal, qui avant son piratage également des captures d’écran des appareils des victimes a également été téléchargée en temps réel sur un site Web auquel tout le monde pouvait accéder; Et XNSPY, dont les développeurs ont laissé des informations d’identification et des clés privées dans le code des applications, permettant à quiconque d’accéder aux données des victimes; Et maintenant, Spyzie, Cocospy et Spyic, qui ont laissé les messages, les photos, les journaux d’appels de la victime et d’autres données personnelles, ainsi que les adresses e-mail des clients, exposées en ligne.
En ce qui concerne les autres sociétés de Stalkerware qui ont été piratées, à part Spyx, il y avait Copy9, qui a vu un pirate voler les données de toutes ses cibles de surveillance, y compris les messages texte et les messages WhatsApp, les enregistrements d’appels, les photos, les contacts et l’historique des sourcils; LetMespy, qui a fermé ses portes après que les pirates aient violé et essuyé ses serveurs; Le Webdetetive basé au Brésil, qui a également fait essuyer ses serveurs, puis a à nouveau piraté; OwnSpy, qui fournit une grande partie du logiciel back-end pour Webdetetive, a également été piraté; Spyhide, qui avait une vulnérabilité dans son code qui a permis à un pirate d’accéder aux bases de données back-end et aux années de données de 60 000 victimes; Oospy, qui était un changement de marque de Spyhide, fermé pour la deuxième fois; Et le dernier hack MSPy, qui n’est pas lié à la fuite mentionnée précédemment.
Finally, il y a TheruthSpy, un réseau d’applications Stalkerware, qui détient le registre douteux d’avoir été piraté ou d’avoir divulgué des données à au moins trois occasions distinctes.
Piraté, mais non réparé
Sur ces 25 sociétés Stalkerware, huit ont fermé, selon le Tally de TechCrunch.
Dans un premier cas unique et jusqu’à présent unique, la Federal Trade Commission a interdit Spyfone et son directeur général, Scott Zuckerman, d’opérer dans l’industrie de la surveillance à la suite d’un délai de sécurité antérieur qui exige les données de la victime. Une autre opération de stalkerware liée à Zuckerman, appelé Spytrac, a ensuite arrêté à la suite d’une enquête TechCrunch.
PhoneSpecteur et Highster, deux autres sociétés qui ne sont pas connues pour avoir été piratées, également fermées après que le procureur général de New York accusant les sociétés d’encourager explicitement les clients à utiliser leur logiciel pour une surveillance illégale.
Mais une fermeture d’une entreprise ne signifie pas qu’elle a disparu pour toujours. Comme pour Spyhide et SpyFone, certains des mêmes propriétaires et développeurs derrière un fabricant de harcèlements tirés ont simplement renommé.
« Je pense que ces hacks font des choses. Ils accomplissent des choses, ils mettent une dent », a déclaré Galperin. « Mais si vous pensez que si vous piratez une entreprise de Stalkerware, ils secoueront simplement leurs poings, maudissent votre nom, disparaîtront dans une bouffée de fumée bleue et ne seront plus jamais revues, cela n’a certainement pas le cas. »
« Ce qui se passe le plus souvent, lorsque vous parvenez réellement à tuer une entreprise de Stalkerware, c’est que la société de Stalkerware propose des champignons après la pluie », a ajouté Galperin.
Il y a de bonnes nouvelles. Dans un report de l’année dernière, la société de sécurité Malwarebytes a déclaré que celle de Stalkerware est en baisse, selon ses propres données de clients infectés par ce type de logiciel. En outre, Galperin rapporte voir une augmentation des avis négatifs de ces applications, avec des clients ou des clients potentiels se plaignant de travailler comme prévu.
Mais, Galperin a déclaré qu’il est possible que les entreprises de sécurité ne soient pas aussi douées pour détecter les stalkerware que c’était le cas, ou que les harceleurs sont passés de la surveillance logicielle à la surveillance physique rendue par AirTags et d’autres trackers Bluetooth-Luenabled.
« Le stalkerware n’existe pas dans le vide. Stalkerware fait partie d’un monde entier d’abus de technologie », a déclaré Galperin.
Dites non à Stalkerware
L’utilisation de logiciels espions pour surveiller vos proches n’est pas seulement athique, il est également illégal dans la plupart des juridictions, car il est considéré comme une surveillance illégale.
C’est déjà une raison significative de ne pas utiliser Stalkerware. Il y a le problème que les fabricants de Stalkerware ont prouvé à maintes reprises qu’ils ne peuvent pas garder les données sécurisées – ni les données ne ce que les clients ni leur victime ou leur cible.
Outre l’espionnage des partenaires romantiques et des conjoints, certaines personnes utilisent des applications Stalkerware pour surveiller leurs enfants. Bien que ce type d’utilisation, au moins aux États-Unis, soit légal, cela ne signifie pas que l’utilisation de Stalkerware pour espionner le téléphone de vos enfants n’est pas effrayante et athique.
Même si c’est légal, Galperin pense que les parents ne devraient pas espionner leurs enfants sans leur dire et sans leur consentement.
Si les parents informent leurs enfants et obtiennent leur feu vert, les parents devraient rester des applications de harcèlement de harcèlement peu sûres et indignes de confiance, et utiliser des outils de suivi parental dans les téléphones et tablettes Apple et les appareils Android qui sont plus sûrs et fonctionnent ouvertement.
Récapitulation des violations et des fuites
Voici la liste complète des sociétés Stalkerware qui ont été piratées ou ont divulgué des données sensibles sincères 2017, dans l’ordre chronologique:
Mis à jour le 19 mars 2025, pour inclure Spyx comme dernière violation d’un fournisseur de stalkerware.
Si vous ou quelqu’un que vous connaissez avez besoin d’aide, le National Domestic Violence Hotline (1-800-799-7233) est un soutien gratuit et confidentiel gratuit aux victimes de violence et de violence domestiques. Si vous êtes dans une situation d’urgence, appelez le 911. La coalition contre Stalkerware dispose de ressources si vous pensez que votre téléphone a été compromis par des logiciels espions.
