Filtración de datos expone a millones de clientes de espionaje de mSpy

Una filtración de datos en la operación de vigilancia telefónica mSpy ha expuesto a millones de sus clientes que compraron acceso a la aplicación de espionaje para teléfonos durante la última década, así como a la compañía ucraniana detrás de ella. Atacantes desconocidos robaron millones de tickets de soporte al cliente, incluyendo información personal, correos electrónicos de soporte y archivos adjuntos, como documentos personales, de mSpy en mayo de 2024. A pesar de que los hackeos a proveedores de software espía se vuelven cada vez más comunes, siguen siendo notables debido a la información personal altamente sensible que suele incluirse en los datos, en este caso sobre los clientes que utilizan el servicio. El hackeo abarcó registros de servicio al cliente que datan de 2014, los cuales fueron robados del sistema de soporte al cliente de mSpy alimentado por Zendesk. mSpy es una aplicación de vigilancia telefónica que se promociona como una forma de rastrear a los niños o monitorear a los empleados. Al igual que la mayoría de los programas espía, también se utiliza ampliamente para monitorear a personas sin su consentimiento. Este tipo de aplicaciones también son conocidas como "stalkerware" porque las personas en relaciones románticas a menudo las utilizan para vigilar a su pareja sin consentimiento. La aplicación mSpy permite a quien haya instalado el software espía, generalmente alguien que previamente tuvo acceso físico al teléfono de la víctima, ver remotamente el contenido del teléfono en tiempo real. Como es habitual en el software espía para teléfonos, los registros de clientes de mSpy incluyen correos electrónicos de personas que buscan ayuda para rastrear de manera encubierta los teléfonos de sus parejas, familiares o hijos, según la revisión de los datos realizada por TechCrunch, los cuales obtuvimos de forma independiente. Algunos de esos correos y mensajes incluyen solicitudes de soporte al cliente de varios altos funcionarios militares de los Estados Unidos, un juez de una corte de apelaciones federales de los Estados Unidos, un vigilante de un departamento del gobierno de los Estados Unidos y una oficina del sheriff de un condado de Arkansas buscando una licencia gratuita para probar la aplicación. A pesar de haber recopilado varios millones de tickets de servicio al cliente, se cree que los datos filtrados de Zendesk representan solo una parte de la base de clientes total de mSpy que solicitó soporte al cliente. Es probable que el número de clientes de mSpy sea mucho mayor. Sin embargo, más de un mes después del hackeo, los propietarios de mSpy, una compañía con sede en Ucrania llamada Brainstack, no han reconocido ni revelado de manera pública el hackeo. Troy Hunt, quien dirige el sitio de notificación de brechas de datos "Have I Been Pwned", obtuvo una copia del conjunto completo de datos filtrados, agregando aproximadamente 2.4 millones de direcciones de correo electrónico únicas de clientes de mSpy al catálogo de brechas de datos pasadas de su sitio. Hunt le dijo a TechCrunch que contactó a varios suscriptores de Have I Been Pwned con información de los datos filtrados, quienes le confirmaron que los datos filtrados eran precisos. mSpy es la última operación de espionaje telefónico en los últimos meses que ha sido hackeada, según una lista recientemente compilada por TechCrunch. El hackeo en mSpy demuestra una vez más que los fabricantes de software espía no pueden ser confiados para mantener seguros sus datos, ya sea los de sus clientes o los de sus víctimas.