✔Взломали компанию TheTruthSpy, разрабатывающую шпионские приложения - «Новости»

31 августа 2018 847 Новости 0

.

);

Журналисты Vice Motherboard рассказали, что на связь с изданием вышел хакер L.M., еще в феврале текущего года взломавший компанию TheTruthSpy, которая разрабатывает шпионские продукты для рядовых пользователей (так называемую stalkerware).

TheTruthSpy — один из крупных представителей на рынке такой спайвари, и компания открыто рекламирует свои шпионские приложения для Android и iOS, явно ориентируя их на инициаторов бытового насилия. Так, реклама компании предлагает мужьям и женам установить слежку за «лучшей половиной», уличив ее в неверности, и лишь получив доказательства, переходить к прямой конфронтации. При этом подчеркивается, что слежка будет «незаметной и тихой».

Сообщение в блоге TheTruthSpy

L.M. сообщил изданию, что ему удалось отреверсить Android-приложение TheTruthSpy и обнаружить в нем уязвимость. После этого хакер проник на медиасервер компании, где обнаружил уникальные ID клиентов, использовавшиеся для аудиофайлов, формат которых выглядел как «номер_телефона_ID_дата_время». L.M. объяснил, что тогда они запрашивали учетные данные пользователя, посылая ID на серверы компании с помощью веб-запроса, который возвращал имя пользователя и пароль в виде простого текста. Создав скрипт для автоматизации сбора данных, хакер сумел собрать учетные данные всех клиентов компании.

В итоге в распоряжении L.M. оказались логины, пароли, фотографии и аудиозаписи, текстовые сообщения, данные о местоположении и логи чатов в социальных сетях, полученные с устройств, пострадавших от слежки. В общей сложности он получил доступ более чем к 10 000 клиентских учетных записей. При этом выяснилось, что многие пользователи TheTruthSpy используют те же самые пароли для своих почтовых ящиков, аккаунтов PayPal, Amazon и так далее. Хакер признается, что для проверки вошел в несколько таких учетных записей, однако не стал вредить или похищать средства.

«Я контролирую всех жертв во всем мире. У меня админский доступ к серверам, — признался взломщик, выйдя на контакт с изданием. — Они позаботились о том, как шпионить, но не позаботились о том, как защитить приватность атакующих и их жертв».

После того как L.M. поделился с журналистами именами пользователей и паролями некоторых пользователей, журналистам удалось верифицировать утечку и подтвердить подлинность данных. Так, журналисты пытались создать новые аккаунты TheTruthSpy, используя имеющиеся в их распоряжении email-адреса пострадавших. В большинстве случаев сайт TheTruthSpy сообщил, что аккаунт с таким почтовым ящиком уже существует.

«Эти данные очень опасны. Вы можете узнать всё о любом человеке, а также о личности атакующего. Очень легко заняться вымогательством и заработать много грязных денег. Любой black hat может вы**ать их и превратить их жизнь в ад», — говорит хакер.

L.M. признает, что недавно лишился доступа к серверам TheTruthSpy (после установки некоего обновления). Хотя представители Vice Motherboard многократно пытались связаться с компанией, ответа на свои запросы журналисты так и не получили.

Издание отмечает, что эту уже седьмой производитель спайвари для массового пользования, скомпрометированный за последние два года.

By the way, if you're keeping score at home, here's a list of consumer spyware company's that have been breached (or left data exposed) in the last 18 months.

-Retina-X (Twice)
-FlexiSpy
-Mobistealth
-Spy Master Pro
-SpyHuman
-Spyfone

— Lorenzo Franceschi-Bicchierai (@lorenzofb) August 23, 2018

Также стоит сказать, что журналисты не зря называют деятельность компании TheTruthSpy крайне спорной. Дело в том, что в США продавать и рекламировать подобное ПО для наблюдения за детьми или сотрудниками – это не преступление. Однако ориентировать подобные решения на взрослых людей, которые с их помощью будут следить за другими взрослыми людьми, это нарушение закона. Так, в 2014 году из-за этого был арестован глава компании StealthGenie, которая так же производила спайварь, открыто ориентированную на абьюзеров.

Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

. ); Журналисты Vice Motherboard рассказали, что на связь с изданием вышел хакер L.M., еще в феврале текущего года взломавший компанию TheTruthSpy, которая разрабатывает шпионские продукты для рядовых пользователей (так называемую stalkerware). TheTruthSpy — один из крупных представителей на рынке такой спайвари, и компания открыто рекламирует свои шпионские приложения для Android и iOS, явно ориентируя их на инициаторов бытового насилия. Так, реклама компании предлагает мужьям и женам установить слежку за «лучшей половиной», уличив ее в неверности, и лишь получив доказательства, переходить к прямой конфронтации. При этом подчеркивается, что слежка будет «незаметной и тихой». Сообщение в блоге TheTruthSpy L.M. сообщил изданию, что ему удалось отреверсить Android-приложение TheTruthSpy и обнаружить в нем уязвимость. После этого хакер проник на медиасервер компании, где обнаружил уникальные ID клиентов, использовавшиеся для аудиофайлов, формат которых выглядел как «номер_телефона_ID_дата_время». L.M. объяснил, что тогда они запрашивали учетные данные пользователя, посылая ID на серверы компании с помощью веб-запроса, который возвращал имя пользователя и пароль в виде простого текста. Создав скрипт для автоматизации сбора данных, хакер сумел собрать учетные данные всех клиентов компании. В итоге в распоряжении L.M. оказались логины, пароли, фотографии и аудиозаписи, текстовые сообщения, данные о местоположении и логи чатов в социальных сетях, полученные с устройств, пострадавших от слежки. В общей сложности он получил доступ более чем к 10 000 клиентских учетных записей. При этом выяснилось, что многие пользователи TheTruthSpy используют те же самые пароли для своих почтовых ящиков, аккаунтов PayPal, Amazon и так далее. Хакер признается, что для проверки вошел в несколько таких учетных записей, однако не стал вредить или похищать средства. «Я контролирую всех жертв во всем мире. У меня админский доступ к серверам, — признался взломщик, выйдя на контакт с изданием. — Они позаботились о том, как шпионить, но не позаботились о том, как защитить приватность атакующих и их жертв». После того как L.M. поделился с журналистами именами пользователей и паролями некоторых пользователей, журналистам удалось верифицировать утечку и подтвердить подлинность данных. Так, журналисты пытались создать новые аккаунты TheTruthSpy, используя имеющиеся в их распоряжении email-адреса пострадавших. В большинстве случаев сайт TheTruthSpy сообщил, что аккаунт с таким почтовым ящиком уже существует. «Эти данные очень опасны. Вы можете узнать всё о любом человеке, а также о личности атакующего. Очень легко заняться вымогательством и заработать много грязных денег. Любой black hat может вы**ать их и превратить их жизнь в ад», — говорит хакер. L.M. признает, что недавно лишился доступа к серверам TheTruthSpy (после установки некоего обновления). Хотя представители Vice Motherboard многократно пытались связаться с компанией, ответа на свои запросы журналисты так и не получили. Издание отмечает, что эту уже седьмой производитель спайвари для массового пользования, скомпрометированный за последние два года. By the way, if you're keeping score at home, here's a list of consumer spyware company's that have been breached (or left data exposed) in the last 18 months. -Retina-X (Twice) -FlexiSpy -Mobistealth -Spy Master Pro -SpyHuman -Spyfone — Lorenzo Franceschi-Bicchierai (@lorenzofb) August 23, 2018 Также стоит сказать, что журналисты не зря называют деятельность компании TheTruthSpy крайне спорной. Дело в том, что в США продавать и рекламировать подобное ПО для наблюдения за детьми или сотрудниками – это не преступление. Однако ориентировать подобные решения на взрослых людей, которые с их помощью будут следить за другими взрослыми людьми, это нарушение закона. Так, в 2014 году из-за этого был арестован глава компании StealthGenie, которая так же производила спайварь, открыто ориентированную на абьюзеров. Источник новости - google.com