Украинская компания mSpy, выпускающая ПО для слежки за смартфонами, хранила данные пользователей в открытом виде

10589

Издание KrebsOnSecurity сообщило о масштабной утечке данных в сервисе mSpy. Это программа для слежки за смартфонами, которая уже подвергалась хакерским атакам. Редакция AIN.UA описывает детали утечки и рассказывает, кто на самом деле владеет mSpy и при чем здесь Украина.

Открытую базу данных сервиса mSpy обнаружил индийский исследователь Нитин Шах. Это мобильное приложение для «семейного контроля». Оно позволяет следить за смартфонами: мониторить SMS-переписку, чаты в мессенджерах (WhatsApp, Messenger, Telegram), активность в соцсетях и дейтингах. Пользование сервисом обходится от $39 в месяц до $264 в год.

Обнаруженная Шахом база данных содержит пользовательские данные за последние полгода. Все они покупали продукты mSpy или авторизировались на сайте компании.

В числе слитых сведений: имена, почты, логины, пароли и ключи шифрования. Также исследователь нашел юзернеймы iCLoud-аккаунтов и ссылки на iCloud-бэкапы. Кроме того, любой пользователь базы данных мог прочитать переписку из Facebook и WhatsApp, загруженную на сервера mSpy.

По словам Шаха, его личное обращение компания проигнорировала. Издание KrebsOnSecurity связалось с техподдержкой mSpy 30 августа. В ответ на запрос в компании указали, что работают над устранением уязвимости. База данных, для доступа к которой не требовалось аутентификация, пробыла в открытом доступе до 3 сентября.

 

В официальном блоге компании опровергают заявления СМИ. В публикации сообщается, что из 5 млн записей в базе данных, большую часть содержали серверные записи об ошибках. Среди них были пароли и логины всего 1241 аккаунта — это менее 0,044% пользовательской базы mSpy. Кроме того, доступ к датасету получили в рамках всего двух интернет-сессий: из Индии и США. Специалисты mSpy уверены, что это были исследователь Нитин Шах и журналист Брайан Кребс.

Нет повода беспокоиться о том, что информация вашего аккаунта или данные детей доступны где-то еще.

Это не первый случай, когда у mSpy наблюдаются проблемы с приватностью. В 2015 году сервера компании взломали, а данные пользователей опубликовали для продажи в дарквебе. mSpy в течение недели отрицала утечку, после чего списала взлом на вымогателей.

Кто владеет mSpy

Разработкой mSpy занимается продуктовая компания Mobisoft, базирующаяся в Киеве, сообщает издание Hackerfall. На сайте mSpy указано, что у разработчика есть офисы в США, Германии и Великобритании, но фирма не работает по указанным адресам. Владелец Mobisoft — инвестиционный фонд WeRocks, в портфолио которого также есть IT-компании Seranking, Intellectsoft и другие.

В KrebsOnSecurity установили, что mSpy связана с ныне закрытой британской фирмой MTechnology LTD, основателями которой являются россиянин Алексей Федорчук и гражданин Великобритании Павел Далецкий. Но это лишь юридические представители компании. 

По данным AIN.UA, фактическим собственником и бывшим CEO Mobisoft является гражданин Беларуси Александр Скалабанов. Официально в Украине он числится одним из четырех конечных бенефициаров ТОВ «Интеллектсофт». Это ТОВ — украинское юрлицо Intellectsoft, и по данным Hackerfall, у него общий бенецифиар с Mobisoft.

Александр Скалабанов. Фото: intellectsoft.net

В распоряжении редакции AIN.UA также оказалась структура собственности холдинга Intellectsoft Holding LLC за март 2016 года. Это частная компания, зарегистрированная в калифорнийском Пало-Альто в 2007 году. Скалабанов, по данным Bloomberg, является CEO предприятия, хотя на официальном сайте указан как член правления и сооснователь. Он якобы владеет крупнейшей долей в 35%.

В числе собственников американской компании совпадают имена других бенефициаров украинского филиала. Это Артем Козел, Валерий Курилов, Дмитрий Липницкий. Козел является стратегическим директором Intellectsoft LLC, роли остальных совладельцев неизвестны.

С украинской «дочкой» Intellectsoft LLC связан через компанию-посредника Intellectsoft Group Corp. Это подтверждается официальными данными: «Інтелектсофт Груп Корпорейшн» владеет 100% ТОВ «Интеллектсофт», чей уставной капитал — 1 331 грн.

Напомним, ранее AIN.UA сообщал, что Intellectsoft купила украинский стартап Stanfy.

Оставить комментарий

Комментарии | 0

Поиск