ハッキングされて開発者情報などが流出したストーカーアプリ「LetMeSpy」がサーバー上のデータを削除され活動停止に追い込まれる

他人のスマートフォンにこっそりインストールすることで通話履歴やSMSメッセージなどを収集するストーカーアプリの「LetMeSpy」が、外部からのハッキングを受けてユーザーや開発者の情報が流出した上に、サーバー上のデータも削除されたことで活動停止に追い込まれました。

Spyware maker LetMeSpy shuts down after hacker deletes server data | TechCrunch
https://techcrunch.com/2023/08/05/letmespy-spyware-shuts-down-wiped-server/

LetMeSpyはAndroidスマートフォン用のストーカーアプリであり、公式ウェブサイトから標的のスマートフォンにインストールすることで、通話履歴・SMSの通信内容・位置情報などの個人情報を24時間収集することができました。被害者によってアプリが見つかったり削除されたりするのを避けるため、LetMeSpyはホーム画面に表示されない仕組みとなっていたとのこと。

ところが2023年6月21日にLetMeSpyのデータベースに対する不正アクセスが発生し、ユーザー情報などが流出したことが報じられました。さらに、LetMeSpyの開発者がポーランド在住のRafal Lidwin氏であることも明らかになっています。

他人のスマホ使用履歴を監視できるストーカーアプリ「LetMeSpy」がハッキングされ被害者のメッセージ履歴や位置情報が流出＆秘密だった開発者の情報も明らかに - GIGAZINE

LetMeSpyは今回のハッキング被害に関する説明で、流出したデータにはLetMeSpyのユーザーがログインに使用した電子メールアドレスのほか、ターゲットから収集した通話履歴・SMSメッセージの内容・デバイスの位置データなどが含まれていたと報告しています。また、「侵害はLetMeSpyウェブサイトのデータベースに対する不正アクセス、攻撃者によるデータのダウンロードおよび削除からなるものでした」と述べ、サーバー上のデータが削除されてしまったことも明かしました。

攻撃の結果として起こりうることとして、LetMeSpyは「個人データのインターネット上への公開」「同意のないマーケティングへの利用」「個人データを使用したオンラインアカウントへのアクセス」「追加の個人情報を詐取する目的での第三者機関へのなりすまし」「第三者によるデータの不正利用」などを挙げています。

流出したデータベースのコピーを取得した非営利団体のDDoSecretsは、LetMeSpyが全世界で1万3000台を超えるAndroidスマートフォンからデータを盗むために使用されていたことを確認しています。なお、LetMeSpy自身は全世界で23万6000台超のスマートフォンを制御していると主張しており、宣伝と実態の間には差があった可能性も示唆されています。

一連の攻撃を受けて、LetMeSpyはすべてのサービスを終了することを決定しました。公式ウェブサイトのトップページに掲載されたメッセージによると、2023年6月21日に発生したデータセキュリティインシデントを受けて、LetMeSpyはセキュリティ上の理由からユーザーアカウントへのアクセスをブロックしたとのこと。LetMeSpyは2023年8月31日をもってサービスを終了し、法律に基づいた保存期間が終了した後にユーザーアカウントに保存されたデータも削除されると管理者は述べました。

なお、LetMeSpyの開発者であることが判明したLidwin氏は、テクノロジー系メディア・TechCrunchのコメント要請に応じなかったとのことです。