Категория > Новости > Взломали компанию TheTruthSpy, разрабатывающую шпионские приложения - «Новости»
Взломали компанию TheTruthSpy, разрабатывающую шпионские приложения - «Новости»31-08-2018, 18:01. Автор: Любомира |
"); }else{ $('#mpu1-desktop').remove(); console.log('mpu1-desktop removed'); } }); Журналисты Vice Motherboard рассказали, что на связь с изданием вышел хакер L.M., еще в феврале текущего года взломавший компанию TheTruthSpy, которая разрабатывает шпионские продукты для рядовых пользователей (так называемую stalkerware). TheTruthSpy — один из крупных представителей на рынке такой спайвари, и компания открыто рекламирует свои шпионские приложения для Android и iOS, явно ориентируя их на инициаторов бытового насилия. Так, реклама компании предлагает мужьям и женам установить слежку за «лучшей половиной», уличив ее в неверности, и лишь получив доказательства, переходить к прямой конфронтации. При этом подчеркивается, что слежка будет «незаметной и тихой». Сообщение в блоге TheTruthSpy L.M. сообщил изданию, что ему удалось отреверсить Android-приложение TheTruthSpy и обнаружить в нем уязвимость. После этого хакер проник на медиасервер компании, где обнаружил уникальные ID клиентов, использовавшиеся для аудиофайлов, формат которых выглядел как «номер_телефона_ID_дата_время». L.M. объяснил, что тогда они запрашивали учетные данные пользователя, посылая ID на серверы компании с помощью веб-запроса, который возвращал имя пользователя и пароль в виде простого текста. Создав скрипт для автоматизации сбора данных, хакер сумел собрать учетные данные всех клиентов компании. В итоге в распоряжении L.M. оказались логины, пароли, фотографии и аудиозаписи, текстовые сообщения, данные о местоположении и логи чатов в социальных сетях, полученные с устройств, пострадавших от слежки. В общей сложности он получил доступ более чем к 10 000 клиентских учетных записей. При этом выяснилось, что многие пользователи TheTruthSpy используют те же самые пароли для своих почтовых ящиков, аккаунтов PayPal, Amazon и так далее. Хакер признается, что для проверки вошел в несколько таких учетных записей, однако не стал вредить или похищать средства.
После того как L.M. поделился с журналистами именами пользователей и паролями некоторых пользователей, журналистам удалось верифицировать утечку и подтвердить подлинность данных. Так, журналисты пытались создать новые аккаунты TheTruthSpy, используя имеющиеся в их распоряжении email-адреса пострадавших. В большинстве случаев сайт TheTruthSpy сообщил, что аккаунт с таким почтовым ящиком уже существует.
L.M. признает, что недавно лишился доступа к серверам TheTruthSpy (после установки некоего обновления). Хотя представители Vice Motherboard многократно пытались связаться с компанией, ответа на свои запросы журналисты так и не получили. Издание отмечает, что эту уже седьмой производитель спайвари для массового пользования, скомпрометированный за последние два года.
Также стоит сказать, что журналисты не зря называют деятельность компании TheTruthSpy крайне спорной. Дело в том, что в США продавать и рекламировать подобное ПО для наблюдения за детьми или сотрудниками – это не преступление. Однако ориентировать подобные решения на взрослых людей, которые с их помощью будут следить за другими взрослыми людьми, это нарушение закона. Так, в 2014 году из-за этого был арестован глава компании StealthGenie, которая так же производила спайварь, открыто ориентированную на абьюзеров. Перейти обратно к новости |