Ein Datenleck beim Telefonüberwachungsunternehmen mSpy hat Millionen seiner Kunden bloßgestellt, die in den letzten zehn Jahren Zugang zur Telefon-Spionage-App erworben haben, sowie das dahinter stehende ukrainische Unternehmen.
Unbekannte Angreifer stahlen im Mai 2024 Millionen von Kundensupport-Tickets, einschließlich persönlicher Informationen, E-Mails an den Support sowie Anhänge, darunter persönliche Dokumente, von mSpy. Während Hacks von Spionage-Softwareanbietern immer häufiger werden, bleiben sie bemerkenswert wegen der hochsensiblen persönlichen Informationen, die oft in den Daten enthalten sind, in diesem Fall über die Kunden, die den Service nutzen.
Der Hack umfasste Kundenservicerecords, die bis 2014 zurückreichen und aus dem Zendesk-betriebenen Kundensupportsystem des Spionagesoftwareherstellers gestohlen wurden.
mSpy ist eine Telefonüberwachungs-App, die sich als Möglichkeit zur Überwachung von Kindern oder Mitarbeitern bewirbt. Wie die meisten Spionagesoftware wird sie auch häufig verwendet, um Personen ohne ihr Einverständnis zu überwachen. Diese Art von Apps ist auch als „Stalkerware“ bekannt, da Menschen in romantischen Beziehungen sie oft verwenden, um ihren Partner heimlich zu überwachen, ohne deren Zustimmung oder Erlaubnis.
Die mSpy-App ermöglicht es demjenigen, der die Spionagesoftware eingesetzt hat, in der Regel jemandem, der zuvor physischen Zugriff auf das Telefon des Opfers hatte, den Inhalt des Telefons in Echtzeit zu überwachen.
Wie bei Telefon-Spionagesoftware üblich, enthalten mSpys Kundendaten E-Mails von Personen, die Hilfe bei der heimlichen Verfolgung der Telefone ihrer Partner, Verwandten oder Kinder suchen, so eine Überprüfung der Daten durch TechCrunch, die wir unabhängig erhalten haben. Einige dieser E-Mails und Nachrichten enthalten Anfragen nach Kundensupport von mehreren ranghohen US-Militärpersonen, einem dienenden Berufungsrichter eines US-Bundesgerichts, einem Aufsichtsorgan einer US-Bundesbehörde und einem Sheriffsbüro im Arkansas County, das um eine kostenlose Lizenz bat, um die App zu testen.
Auch nach dem Sammeln von mehreren Millionen Kundendiensttickets wird angenommen, dass die durchgesickerten Zendesk-Daten nur einen Teil der Gesamtkundenbasis von mSpy darstellen, die sich für den Kundensupport gemeldet haben. Die Anzahl der mSpy-Kunden dürfte wesentlich höher sein.
Mehr als einen Monat nach dem Datenleck haben die Besitzer von mSpy, ein in der Ukraine ansässiges Unternehmen namens Brainstack, das Datenleck nicht anerkannt oder öffentlich bekannt gemacht.
Troy Hunt, Betreiber der Datenleck-Benachrichtigungs-Website Have I Been Pwned, erhielt eine Kopie des vollständig durchgesickerten Datensatzes, bei dem etwa 2,4 Millionen eindeutige E-Mail-Adressen von mSpy-Kunden zu seinem Katalog vergangener Datenlecks hinzugefügt wurden.
Hunt teilte TechCrunch mit, dass er mehrere Have-I-Been-Pwned-Abonnenten mit Informationen aus den durchgesickerten Daten kontaktiert habe, die ihm bestätigten, dass die durchgesickerten Daten korrekt waren.
mSpy ist die neueste Telefon-Spionagesoftware, die in den letzten Monaten gehackt wurde, laut einer kürzlich von TechCrunch erstellten Liste. Das Datenleck bei mSpy zeigt einmal mehr, dass Spionagesoftwarehersteller nicht vertrauenswürdig sind, um ihre Daten sicher aufzubewahren - weder die ihrer Kunden noch die ihrer Opfer.
TechCrunch analysierte den durchgesickerten Datensatz - mehr als 100 Gigabyte Zendesk-Aufzeichnungen -, der Millionen einzelner Kundenservicetickets und deren zugehörige E-Mail-Adressen sowie die Inhalte dieser E-Mails enthielt.
Einige der E-Mail-Adressen gehören ahnungslosen Opfern, die von einem mSpy-Kunden ins Visier genommen wurden. Die Daten zeigen auch, dass einige Journalisten das Unternehmen um Stellungnahme nach dem letzten bekannten Datenleck im Jahr 2018 gebeten haben. Und mehrere Male haben US-Strafverfolgungsbehörden Vorladungen und rechtliche Forderungen bei mSpy eingereicht oder versucht, solche einzureichen.
Jedes Ticket im Datensatz enthielt eine Reihe von Informationen über die Personen, die sich an mSpy wandten. In vielen Fällen enthielten die Daten auch ihren ungefähren Standort basierend auf der IP-Adresse des Geräts des Absenders.
Der Kauf von Spionagesoftware ist selbst nicht illegal, aber der Verkauf oder die Verwendung von Spionagesoftware zur Ausspähung einer Person ohne deren Zustimmung ist gesetzwidrig. In der Vergangenheit wurden Spionagesoftwarehersteller von US-Anklägern strafrechtlich verfolgt, und Bundesbehörden und staatliche Aufsichtsbehörden haben Spionagesoftware-Unternehmen aus der Überwachungsbranche verbannt, weil sie die von der Spionagesoftware geschaffenen Cybersicherheits- und Datenschutzrisiken kritisierten. Kunden, die Spionagesoftware zur Überwachung verwenden, können ebenfalls wegen Verstoßes gegen Abhörgesetze strafrechtlich verfolgt werden.
Die E-Mails in den durchgesickerten Zendesk-Daten zeigen, dass mSpy und seine Betreiber sich sehr bewusst darüber sind, wofür die Kunden die Spionagesoftware verwenden, einschließlich der Überwachung von Telefonen ohne das Wissen der Person. Einige der Anfragen zitieren Kunden, die wissen wollten, wie sie mSpy vom Telefon ihres Partners entfernen können, nachdem ihr Ehepartner es entdeckt hatte. Der Datensatz wirft auch Fragen zum Einsatz von mSpy durch US-Regierungsbeamte und -behörden, Polizeidienststellen und der Justiz auf, da nicht klar ist, ob die Verwendung der Spionagesoftware einem legalen Verfahren folgte.
Einer der E-Mail-Adressen gehört Kevin Newsom, einem amtierenden Berufungsrichter am US-Berufungsgericht für den 11. Gerichtskreis in Alabama, Georgia und Florida, der seine offizielle Regierungs-E-Mail-Adresse verwendete, um eine Rückerstattung von mSpy zu beantragen.
Als TechCrunch einen Sprecher des Inspekteurs des Sozialversicherungsamtes um Stellungnahme bat, wollte er nicht darauf eingehen, warum der Mitarbeiter im Namen der Behörde nach mSpy gefragt hatte.Das Sheriffsbüro des Arkansas County forderte kostenlose Testversionen von mSpy an, offenbar um Eltern in der Nachbarschaft Software-Demos zur Verfügung zu stellen. Dieser Sergeant antwortete nicht auf die Frage von TechCrunch, ob er bevollmächtigt war, Kontakt zu mSpy aufzunehmen.
Das Unternehmen hinter mSpy
Dies ist das dritte bekannte Datenleck bei mSpy seit dem Beginn des Unternehmens um 2010 herum. mSpy ist eines der ältesten Telefon-Spionagesoftware-Unternehmen, was teilweise darauf zurückzuführen ist, dass es so viele Kunden angehäuft hat.
Trotz ihrer Größe und Reichweite sind die Betreiber von mSpy bisher im Verborgenen geblieben und haben weitgehend der Untersuchung entgangen - bis jetzt. Es ist nicht ungewöhnlich, dass Hersteller von Spionagesoftware die realen Identitäten ihrer Mitarbeiter verschleiern, um das Unternehmen vor den rechtlichen und reputativen Risiken zu schützen, die mit dem Betrieb einer globalen Telefonüberwachungsoperation verbunden sind, die in vielen Ländern illegal ist.
Das Datenleck der Zendesk-Daten von mSpy brachte sein Mutterunternehmen als ein ukrainisches Technologieunternehmen namens Brainstack ans Licht.
Die Website von Brainstack erwähnt mSpy nicht. Ähnlich wie bei seinen öffentlichen Stellenausschreibungen bezieht sich Brainstack nur auf seine Arbeit an einer nicht näher bezeichneten „elterlichen Kontroll“-App. Aber der interne Zendesk-Datendump zeigt, dass Brainstack weitgehend und eng in mSpys Operationen involviert ist.
In den durchgesickerten Zendesk-Daten fand TechCrunch Aufzeichnungen mit Informationen über Dutzende von Mitarbeitern mit Brainstack-E-Mail-Adressen. Viele dieser Mitarbeiter waren in den mSpy-Kundensupport involviert, wie beispielsweise bei der Beantwortung von Kundenfragen und Anfragen nach Rückerstattungen.
Die durchgesickerten Zendesk-Daten enthalten die echten Namen und in einigen Fällen die Telefonnummern von Brainstack-Mitarbeitern sowie die falschen Namen, die sie verwendet haben, um auf mSpy-Kundenanfragen zu antworten und ihre eigenen Identitäten zu verbergen.
Als TechCrunch zwei Brainstack-Mitarbeiter kontaktierte, bestätigten diese ihre Namen, wie sie in den durchgesickerten Aufzeichnungen gefunden wurden, lehnten es jedoch ab, ihre Arbeit mit Brainstack zu diskutieren.
Der Brainstack-Chef Volodymyr Sitnikov und die leitende Angestellte Kateryna Yurchuk antworteten nicht auf mehrere E-Mails mit der Bitte um Stellungnahme vor der Veröffentlichung. Stattdessen lehnte ein Brainstack-Vertreter, der seinen Namen nicht angab, ein Abstreiten unserer Berichterstattung ab, lehnte es jedoch ab, Antworten auf eine Liste von Fragen für die Führungskräfte des Unternehmens zu liefern.
Es ist unklar, wie die Zendesk-Instanz von mSpy kompromittiert wurde oder von wem. Der Hack wurde zuerst von dem in der Schweiz ansässigen Hacker maia arson crimew bekannt gegeben, und die Daten wurden anschließend DDoSecrets, einem gemeinnützigen Transparenzkollektiv, das durchgesickerte Datensätze im öffentlichen Interesse indexiert, zur Verfügung gestellt.
Als TechCrunch um Kommentar bat, sagte Zendesk-Sprecherin Courtney Blake: „Zu diesem Zeitpunkt haben wir keine Beweise dafür, dass Zendesk eine Kompromittierung seiner Plattform erfahren hat“, wollte jedoch nicht sagen, ob mSpys Nutzung von Zendesk zur Unterstützung seiner Spionagetätigkeiten gegen seine Nutzungsbedingungen verstieß.
„Wir verpflichten uns, unsere Richtlinien für Benutzerinhalte und Verhalten aufrechtzuerhalten und behauptete Verletzungen angemessen und entsprechend unseren etablierten Verfahren zu untersuchen“, sagte der Sprecher.
Wenn Sie oder jemand, den Sie kennen, Hilfe benötigen, bietet die National Domestic Violence Hotline (1-800-799-7233) rund um die Uhr kostenlose, vertrauliche Unterstützung für Opfer häuslicher Gewalt und Gewalt. Wenn Sie sich in einer Notfallsituation befinden, rufen Sie 911 an. Die Coalition Against Stalkerware bietet Ressourcen, wenn Sie vermuten, dass Ihr Telefon von Spionagesoftware kompromittiert wurde.
