Twórcy polskiego oprogramowania stalkerware, LetMeSpy, poinformowali w czerwcu, że ich infrastruktura padła ofiarą ataku hakerskiego, w wyniku którego bazę danych z informacjami o wszystkich zarejestrowanych użytkownikach utracono. Po tym incydencie zdecydowali się zakończyć działalność swojej aplikacji, która była przeznaczona do monitorowania działań dzieci, partnerów oraz innych użytkowników smartfonów.
Nieetyczna aplikacja LetMeSpy zostanie zamknięta
Niestety, baza danych użytkowników, którzy zdecydowali się korzystać z LetMeSpy do szpiegowania telefonów swoich partnerów, dzieci, współpracowników lub kogokolwiek innego, zawierała nie tylko dane osób, które kupiły LetMeSpy w celu prześladowania innych, ale także dane dotyczące osób, które padły ofiarą oprogramowania szpiegującego – co oznacza, że wszelkie prywatne wiadomości nagrane przez LetMeSpy, ich lokalizacja i dzienniki połączeń są również teraz w rękach hakerów.
Przechwytywanie danych obejmuje dzienniki połączeń i wiadomości tekstowe sięgające 2013 roku, które miały wpływ na tysiące niewinnych ludzi. Witryna LetMeSpy – zanim przyznała się do naruszenia jej danych i zamknięcia – chwaliła się, że została zainstalowana na ponad 230 000 telefonów i zgromadziła ponad 63 miliony wiadomości tekstowych i 39 milionów dzienników połączeń.
Chociaż LetMeSpy reklamował się jako aplikacja, której „uzasadnionym” celem jest monitorowanie dzieci lub pracowników za ich zgodą, nikt nie powinien dać się zwieść myśleniu, że była używana przede wszystkim w innych niż złowrogie intencje.
Jak donosi The Register, badaczka Maia Arson Crimew zbadała skradzioną bazę danych i zauważyła, że użytkownikami LetMeSpy byli pracownicy rządowi, a nawet pracownicy konkurencyjnej firmy zajmującej się stalkerware.
Analiza, dodatkowo zidentyfikowała to, że wielu użytkowników było studentami, handlarzami narkotyków, a nawet prześladowcami, którzy szantażowali swoje ofiary, grożąc im, że ich niesłusznie oskarżą.
LetMeSpy obiecuje, że usunie dane
W najnowszej aktualizacji na swojej stronie internetowej LetMeSpy ogłosiło, że zakończy działalność 31 sierpnia 2023 r. Administrator strony twierdzi, że od czasu naruszenia ochrony danych w 2023 r. LetMeSpy mówi, że po tej dacie wszystkie pozostałe dane powiązane z kontami zostaną usunięte.
Biorąc pod uwagę, że są to dane, które zostały potajemnie skradzione ze smartfonów innych osób, są to informacje, które nigdy nie powinny były być gromadzone.
Wygląda na to, że ze względu na słabe cyberbezpieczeństwo LetMeSpy wpadło już w łapy hakerów. Tylko czas pokaże, co – jeśli w ogóle – planują z tym zrobić.
„Nierzadko słyszy się o włamaniach do firm zajmujących się oprogramowaniem stalkerware. Z pewnością cyberbezpieczeństwo takich firm nie jest priorytetem. Ci, którzy rozważają szpiegowanie współmałżonka (lub kogokolwiek innego) za pomocą takiej technologii, powinni pomyśleć dwa razy, zanim powierzą im swoje dane osobowe. Przykład LetMeSpy pokazuje, że może zakończyć się to nie tylko kradzieżą danych związanymi z nami, lecz także całą historią połączeń i wiadomości osoby szpiegowanej” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.