据报道,移动监控软件公司mSpy遭遇了数据泄露事件,数百万用户的敏感信息被曝光。在这次攻击中,约十年的客户支持票据被未确认的攻击者黑客入侵并泄露。泄露的数据集来自于mSpy基于Zendesk的客户支持系统,已被DDoSecrets这家非营利透明度组织接收,并被TechCrunch确认是有效的和独立安全专家验证。
根据泄露通知服务Have I Been Pwned (HIBP),此次泄露的内容包括318GB的数据,涉及24百万个独特电子邮件地址。泄露的数据中包括用户记录和支持票据中的姓名和IP地址。
此外,还有信用卡照片及更令人惊讶的裸照几乎全部为女性。
这些信用卡图片似乎与退款请求相关,而裸照的来源则更难解释。
HIBP创始人Troy Hunt在Twitter/X上表示:“有大量信用卡照片,其中大多数但并非全部被部分遮挡。”他表示,“人们是否在提交他们使用的付款方式的证据?也许是。”
白鲸加速器试用他进一步推测裸照的来源:“这些照片是从被攻击设备获取,而没有经过所有者的知情或同意吗?它们看起来确实不像任何人会上传到工单系统的内容。”
CSOonline曾联系mSpy以获取对此事件的评论和对客户的建议,但目前尚未收到公司的回复。
根据Zendesk发言人的说法,Zendesk并未遭遇攻击,mSpy的任何数据泄露与Zendesk无关。“我们致力于维护我们的用户内容和行为政策,并会根据既定程序适当调查违规指控。此外,我们没有证据表明Zendesk平台经历了安全漏洞。”Zendesk发言人说。
mSpy 泄露显示其归乌克兰IT公司Brainstack所有 是一款旨在进行家长控制和员工监控的移动和计算机监控软件。该技术首次发布于2010年,兼容iOS、Android、Windows和macOS。
其功能包括跟踪GPS位置、查看浏览历史、图片、视频、电子邮件、短信、Skype、WhatsApp和按键记录。
这一软件因其在跟踪和家庭暴力案件中的潜在滥用而受到批评。泄露的支持票据显示,许多查询涉及个人试图秘密监控其伴侣或前伴侣。
相比之下,mSpy的市场宣传却强调家长如何利用这款软件来关注孩子。
该技术可能被用来帮助雇主跟踪移动员工,此时大多数西方法域要求全知情和同意。
在工作场所监控员工以提高生产力的灰色区域内,独立安全专家指出,同意和透明性是关键。
Insight的技术负责人兼首席信息安全官Rob O’Connor表示,许多组织对将mSpy作为GDPR数据处理器持保留态度,倾向于选择提供更透明服务的供应商,使用更少侵入性的技术。
“O’Connor表示:“mSpy的功能清单,包括位置跟踪、社交媒体监控、短信访问及浏览历史查看表明,其目标超过了单纯的安全。”他称:“有合理需求的组织应选择仅具备必要功能的供应商,而不是多余的。”
此次mSpy的Zendesk支持系统最新数据泄露事件,继2018年和2015年的安全漏洞后再次发生。[2018年的泄露事件](https//krebsonsecuritycom/2018/09/
