Un hacktiviste a récupéré plus d’un demi-million de relevés de paiement auprès d’un fournisseur d’applications de surveillance téléphonique « stalkerware » grand public, exposant ainsi les adresses e-mail et les informations de paiement partielles des clients qui ont payé pour espionner les autres.
Les transactions contiennent des enregistrements de paiements pour des services de suivi téléphonique comme Geofinder et uMobix, ainsi que des services comme Peekviewer (anciennement Glassagram), qui prétendent permettre l’accès à des comptes Instagram privés, parmi plusieurs autres applications de surveillance et de suivi fournies par le même fournisseur, une société ukrainienne appelée Struktura.
Les données clients comprennent également les enregistrements de transactions de Xnspy, une application de surveillance téléphonique connue, qui, en 2022, a divulgué les données privées de dizaines de milliers d’appareils Android et d’iPhone de personnes sans méfiance.
Il s’agit du dernier exemple en date d’un fournisseur de services de surveillance exposant les informations de ses clients en raison de failles de sécurité. Au cours des dernières années, des dizaines d’applications de stalkerware ont été piratées ou ont réussi à perdre, divulguer ou exposer les données privées de personnes (souvent les victimes elles-mêmes) grâce à une cybersécurité de mauvaise qualité des opérateurs de stalkerware.
Contactez-nous
Pour contacter Zack Whittaker en toute sécurité, contactez-nous via le nom d’utilisateur Signal zackwhittaker.1337. Contactez Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
Les applications de stalkerware comme uMobix et Xnspy, une fois installées sur le téléphone de quelqu’un, téléchargent les données privées de la victime, notamment ses enregistrements d’appels, ses messages texte, ses photos, son historique de navigation et ses données de localisation précises, qui sont ensuite partagées avec la personne qui a installé l’application.
Des applications comme uMobix et Xnspy ont explicitement commercialisé leurs services pour permettre aux personnes d’espionner leurs conjoints et partenaires domestiques, ce qui est illégal.
Les données, vues par TechCrunch, comprenaient environ 536 000 lignes d’adresses e-mail de clients, l’application ou la marque pour laquelle le client a payé, le montant payé, le type de carte de paiement (comme Visa ou Mastercard) et les quatre derniers chiffres de la carte. Les dossiers clients ne comprenaient pas les dates de paiement.
TechCrunch a vérifié l’authenticité des données en prenant plusieurs enregistrements de transactions contenant des adresses e-mail jetables avec des boîtes de réception publiques, telles que Mailinator, et en les exécutant via les différents portails de réinitialisation de mot de passe fournis par les différentes applications de surveillance. En réinitialisant les mots de passe des comptes associés à des adresses e-mail publiques, nous avons déterminé qu’il s’agissait de comptes réels.
Nous avons également vérifié les données en faisant correspondre le numéro de facture unique de chaque transaction provenant de l’ensemble de données divulgué avec les pages de paiement du fournisseur de surveillance. Nous avons pu le faire car la page de paiement nous a permis de récupérer les mêmes données client et de transaction à partir du serveur sans avoir besoin d’un mot de passe.
L’hacktiviste, surnommé « wikkid », a déclaré à TechCrunch qu’il avait récupéré les données du fournisseur de logiciels de traque grâce à un bug « trivial » sur son site Web. L’hacktiviste a déclaré qu’il « s’amusait à cibler les applications utilisées pour espionner les gens », et a ensuite publié les données récupérées sur un forum de piratage connu.
La liste du forum de piratage répertorie le fournisseur de surveillance sous le nom d’Ersten Group, qui se présente comme une startup de développement de logiciels présente au Royaume-Uni.
TechCrunch a trouvé plusieurs adresses e-mail dans l’ensemble de données utilisé pour les tests et le support client, faisant plutôt référence à Struktura, une société ukrainienne qui possède un site Web identique à celui du groupe Ersten. Le premier enregistrement de l’ensemble de données contenait l’adresse e-mail de la directrice générale de Struktura, Viktoriia Zosim, pour une transaction de 1 $.
Les représentants du groupe Ersten n’ont pas répondu à nos demandes de commentaires. Zosim de Struktura n’a pas répondu à notre demande de commentaire.
