Открытую базу данных сервиса mSpy обнаружил индийский исследователь Нитин Шах. Это мобильное приложение для «семейного контроля». Оно позволяет следить за смартфонами: мониторить SMS-переписку, чаты в мессенджерах (WhatsApp, Messenger, Telegram), активность в соцсетях и дейтингах. Пользование сервисом обходится от $39 в месяц до $264 в год.
Обнаруженная Шахом база данных содержит пользовательские данные за последние полгода. Все они покупали продукты mSpy или авторизировались на сайте компании.
В числе слитых сведений: имена, почты, логины, пароли и ключи шифрования. Также исследователь нашел юзернеймы iCLoud-аккаунтов и ссылки на iCloud-бэкапы. Кроме того, любой пользователь базы данных мог прочитать переписку из Facebook и WhatsApp, загруженную на сервера mSpy.
По словам Шаха, его личное обращение компания проигнорировала. Издание KrebsOnSecurity связалось с техподдержкой mSpy 30 августа. В ответ на запрос в компании указали, что работают над устранением уязвимости. База данных, для доступа к которой не требовалось аутентификация, пробыла в открытом доступе до 3 сентября.
В официальном блоге компании опровергают заявления СМИ. В публикации сообщается, что из 5 млн записей в базе данных, большую часть содержали серверные записи об ошибках. Среди них были пароли и логины всего 1241 аккаунта — это менее 0,044% пользовательской базы mSpy. Кроме того, доступ к датасету получили в рамках всего двух интернет-сессий: из Индии и США. Специалисты mSpy уверены, что это были исследователь Нитин Шах и журналист Брайан Кребс.
Нет повода беспокоиться о том, что информация вашего аккаунта или данные детей доступны где-то еще.
Это не первый случай, когда у mSpy наблюдаются проблемы с приватностью. В 2015 году сервера компании взломали, а данные пользователей опубликовали для продажи в дарквебе. mSpy в течение недели отрицала утечку, после чего списала взлом на вымогателей.
Кто владеет mSpy
Разработкой mSpy занимается продуктовая компания Mobisoft, базирующаяся в Киеве, сообщает издание Hackerfall. На сайте mSpy указано, что у разработчика есть офисы в США, Германии и Великобритании, но фирма не работает по указанным адресам. Владелец Mobisoft — инвестиционный фонд WeRocks, в портфолио которого также есть IT-компании Seranking, Intellectsoft и другие.
В KrebsOnSecurity установили, что mSpy связана с ныне закрытой британской фирмой MTechnology LTD, основателями которой являются россиянин Алексей Федорчук и гражданин Великобритании Павел Далецкий. Но это лишь юридические представители компании.
По данным AIN.UA, фактическим собственником и бывшим CEO Mobisoft является гражданин Беларуси Александр Скалабанов. Официально в Украине он числится одним из четырех конечных бенефициаров ТОВ «Интеллектсофт». Это ТОВ — украинское юрлицо Intellectsoft, и по данным Hackerfall, у него общий бенецифиар с Mobisoft.
В распоряжении редакции AIN.UA также оказалась структура собственности холдинга Intellectsoft Holding LLC за март 2016 года. Это частная компания, зарегистрированная в калифорнийском Пало-Альто в 2007 году. Скалабанов, по данным Bloomberg, является CEO предприятия, хотя на официальном сайте указан как член правления и сооснователь. Он якобы владеет крупнейшей долей в 35%.
В числе собственников американской компании совпадают имена других бенефициаров украинского филиала. Это Артем Козел, Валерий Курилов, Дмитрий Липницкий. Козел является стратегическим директором Intellectsoft LLC, роли остальных совладельцев неизвестны.
С украинской «дочкой» Intellectsoft LLC связан через компанию-посредника Intellectsoft Group Corp. Это подтверждается официальными данными: «Інтелектсофт Груп Корпорейшн» владеет 100% ТОВ «Интеллектсофт», чей уставной капитал — 1 331 грн.
Напомним, ранее AIN.UA сообщал, что Intellectsoft купила украинский стартап Stanfy.