Bir hacktivist, tüketici düzeyinde "stalkerware" telefon izleme uygulamaları sağlayıcısından yarım milyondan fazla ödeme kaydını toplayarak, başkalarını gizlice izlemek için para ödeyen müşterilerin e-posta adreslerini ve kısmi ödeme bilgilerini ifşa etti.
İZLEME UYGULAMALARININ MÜŞTERİ VERİLERİ ORTAYA ÇIKTI
İşlem kayıtları, Geofinder ve uMobix gibi telefon takip hizmetlerinin yanı sıra, özel Instagram hesaplarına erişim sağladığını iddia eden Peekviewer (eski adıyla Glassagram) gibi hizmetler için yapılan ödemeleri içeriyor. Bu uygulamalar, Ukraynalı bir şirket olan Struktura tarafından sağlanan diğer birkaç izleme ve takip uygulamasıyla birlikte listeleniyor. Müşteri verileri ayrıca, 2022'de on binlerce insanın Android cihazlarından ve iPhone'larından özel verileri sızdıran bilinen bir telefon gözetim uygulaması olan Xnspy'ye ait işlem kayıtlarını da kapsıyor.
GÜVENLİK AÇIKLARI MÜŞTERİ BİLGİLERİNİ RİSKE ATIYOR
Bu, bir gözetim satıcısının güvenlik açıkları nedeniyle müşterilerinin bilgilerini ifşa etmesinin en son örneği. Son birkaç yılda, düzinelerce stalkerware uygulaması hacklendi veya genellikle kurbanların kendileri olan kişilerin özel verilerini kaybetti, sızdırdı veya ifşa etti. TechCrunch tarafından incelenen veri seti, yaklaşık 536.000 satır müşteri e-posta adresi, müşterinin hangi uygulama veya marka için ödeme yaptığı, ne kadar ödediği, ödeme kartı türü (Visa veya Mastercard gibi) ve kartın son dört hanesini içeriyordu. Müşteri kayıtları ödeme tarihlerini içermiyordu.
VERİLERİN GERÇEKLİĞİ DOĞRULANDI
TechCrunch, verilerin gerçek olduğunu, Mailinator gibi halka açık gelen kutuları olan tek kullanımlık e-posta adresleri içeren birkaç işlem kaydını alarak ve bunları çeşitli gözetim uygulamaları tarafından sağlanan şifre sıfırlama portallarından geçirerek doğruladı. Halka açık e-posta adresleriyle ilişkili hesapların şifrelerini sıfırlayarak, bunların gerçek hesaplar olduğunu belirledi. Ayrıca, sızdırılan veri setindeki her işlemin benzersiz fatura numarasını gözetim satıcısının ödeme sayfalarıyla eşleştirerek verileri doğruladı. Bunu yapabildik çünkü ödeme sayfası, şifre gerektirmeden sunucudan aynı müşteri ve işlem verilerini almamıza izin verdi. "Wikkid" takma adını kullanan hacktivist, stalkerware satıcısının web sitesindeki "önemsiz" bir hata sayesinde verileri topladığını TechCrunch'a söyledi. Hacktivist, "insanları gizlice izlemek için kullanılan uygulamaları hedef alarak eğleniyorum" dedi ve ardından toplanan verileri bilinen bir hack forumunda yayınladı.
