هکتیویست اطلاعات پرداخت بیش از پانصد هزار مشتری نرمافزارهای جاسوسی را افشا کرد
آدرسهای ایمیل و اطلاعات جزئی کارت پرداخت بیش از نیم میلیون خریدار برنامههای نظارت بر تلفن و شبکههای اجتماعی به صورت آنلاین منتشر شد.
افشای سوابق پرداخت مشتریان نرمافزارهای جاسوسی
یک هکتیویست با نام مستعار “wikkid” توانسته است بیش از پانصد هزار رکورد پرداخت از ارائهدهنده نرمافزارهای جاسوسی مصرفی موسوم به “stalkerware” را استخراج کند. این دادهها شامل آدرسهای ایمیل و اطلاعات جزئی کارت پرداخت مشتریانی است که هزینه سرویسهای ردیابی تلفن همراه و دسترسی غیرمجاز به حسابهای کاربری را پرداخت کردهاند. این تراکنشها مربوط به سرویسهایی مانند Geofinder، uMobix و Peekviewer (که پیشتر Glassagram نام داشت) است که توسط یک شرکت اوکراینی به نام Struktura ارائه میشوند. این افشاگری نمونهای دیگر از ضعفهای امنیتی در فروشندگان ابزارهای نظارتی است که منجر به لو رفتن اطلاعات حساس مشتریان (و اغلب قربانیان نهایی) آنها میشود.
بر اساس گزارشها، اطلاعات مشتریان شامل حدود ۵۳۶٫۰۰۰ آدرس ایمیل، نام برنامهای که برای آن هزینه شده، مبلغ پرداختی، نوع کارت بانکی (مانند ویزا یا مسترکارت) و چهار رقم آخر کارت بوده است. این دادهها فاقد تاریخ پرداخت بودند اما TechCrunch صحت آنها را از طریق تلاش برای بازنشانی رمز عبور حسابهای مرتبط با ایمیلهای عمومی تأیید کرد. همچنین، با استفاده از شماره فاکتور منحصربهفرد، صحت تراکنشها از صفحات پرداخت فروشنده تأیید شد، زیرا صفحات تسویه حساب به بازیابی دادههای مشتری بدون نیاز به رمز عبور اجازه میدادند.
- سرویسهای جاسوسی مانند uMobix و Xnspy پس از نصب بر روی تلفن قربانی، اطلاعات خصوصی وی از جمله سوابق تماس، پیامکها، عکسها، تاریخچه مرور و موقعیت مکانی دقیق را بارگذاری کرده و برای فرد نصبکننده ارسال میکنند.
- هکتیویست مدعی شده است که این دادهها را به دلیل وجود یک باگ «بسیار ساده» در وبسایت فروشنده استخراج کرده است.
- فروشنده اصلی شناسایی شده به عنوان Ersten Group معرفی میشود که خود را به عنوان یک استارتاپ توسعه نرمافزار مستقر در بریتانیا جا زده است، اما ایمیلهای پشتیبانی به شرکت اوکراینی Struktura اشاره دارند.
- این اقدام بر آسیبپذیریهای امنیتی مداوم در اکوسیستم نرمافزارهای جاسوسی تأکید میکند که اغلب برای نظارت غیرقانونی بر همسران و شرکای خانگی تبلیغ میشوند.
هکتیویست اعلام کرده است که از هدف قرار دادن اپلیکیشنهایی که برای جاسوسی از مردم استفاده میشوند، لذت میبرد.
یکی از محققان امنیتی به تماس امن از طریق Signal اشاره کرده است.
این حادثه بار دیگر لزوم توجه جدی به اصول امنیت سایبری و عواقب انتشار گسترده اطلاعات شخصی کاربران را، حتی در بخشهای تخصصی مانند ابزارهای نظارتی، به نمایش میگذارد. شکستهای امنیتی در اینگونه سرویسها مستقیماً به نقض حریم خصوصی و مسائل قانونی منجر میشود.
