セキュリティ

ハッキングされて開発者情報などが流出したストーカーアプリ「LetMeSpy」がサーバー上のデータを削除され活動停止に追い込まれる


他人のスマートフォンにこっそりインストールすることで通話履歴やSMSメッセージなどを収集するストーカーアプリの「LetMeSpy」が、外部からのハッキングを受けてユーザーや開発者の情報が流出した上に、サーバー上のデータも削除されたことで活動停止に追い込まれました。

Spyware maker LetMeSpy shuts down after hacker deletes server data | TechCrunch
https://techcrunch.com/2023/08/05/letmespy-spyware-shuts-down-wiped-server/


LetMeSpyはAndroidスマートフォン用のストーカーアプリであり、公式ウェブサイトから標的のスマートフォンにインストールすることで、通話履歴・SMSの通信内容・位置情報などの個人情報を24時間収集することができました。被害者によってアプリが見つかったり削除されたりするのを避けるため、LetMeSpyはホーム画面に表示されない仕組みとなっていたとのこと。

ところが2023年6月21日にLetMeSpyのデータベースに対する不正アクセスが発生し、ユーザー情報などが流出したことが報じられました。さらに、LetMeSpyの開発者がポーランド在住のRafal Lidwin氏であることも明らかになっています。

他人のスマホ使用履歴を監視できるストーカーアプリ「LetMeSpy」がハッキングされ被害者のメッセージ履歴や位置情報が流出&秘密だった開発者の情報も明らかに - GIGAZINE


LetMeSpyは今回のハッキング被害に関する説明で、流出したデータにはLetMeSpyのユーザーがログインに使用した電子メールアドレスのほか、ターゲットから収集した通話履歴・SMSメッセージの内容・デバイスの位置データなどが含まれていたと報告しています。また、「侵害はLetMeSpyウェブサイトのデータベースに対する不正アクセス、攻撃者によるデータのダウンロードおよび削除からなるものでした」と述べ、サーバー上のデータが削除されてしまったことも明かしました。

攻撃の結果として起こりうることとして、LetMeSpyは「個人データのインターネット上への公開」「同意のないマーケティングへの利用」「個人データを使用したオンラインアカウントへのアクセス」「追加の個人情報を詐取する目的での第三者機関へのなりすまし」「第三者によるデータの不正利用」などを挙げています。


流出したデータベースのコピーを取得した非営利団体のDDoSecretsは、LetMeSpyが全世界で1万3000台を超えるAndroidスマートフォンからデータを盗むために使用されていたことを確認しています。なお、LetMeSpy自身は全世界で23万6000台超のスマートフォンを制御していると主張しており、宣伝と実態の間には差があった可能性も示唆されています。

一連の攻撃を受けて、LetMeSpyはすべてのサービスを終了することを決定しました。公式ウェブサイトのトップページに掲載されたメッセージによると、2023年6月21日に発生したデータセキュリティインシデントを受けて、LetMeSpyはセキュリティ上の理由からユーザーアカウントへのアクセスをブロックしたとのこと。LetMeSpyは2023年8月31日をもってサービスを終了し、法律に基づいた保存期間が終了した後にユーザーアカウントに保存されたデータも削除されると管理者は述べました。


なお、LetMeSpyの開発者であることが判明したLidwin氏は、テクノロジー系メディア・TechCrunchのコメント要請に応じなかったとのことです。

この記事のタイトルとURLをコピーする

・関連記事
他人のスマホ使用履歴を監視できるストーカーアプリ「LetMeSpy」がハッキングされ被害者のメッセージ履歴や位置情報が流出&秘密だった開発者の情報も明らかに - GIGAZINE

10万件超のChatGPTアカウントが盗まれてダークウェブで取引されていることが判明、企業の機密情報が漏えいする危険も - GIGAZINE

流出したアメリカ政府の機密文書はDiscordに投稿され4chanやTelegramに拡散された&なぜかTRPGのキャラクターシートが含まれていたことも判明 - GIGAZINE

AirTag悪用の3分の1は「女性へのストーカー」でその半分は元彼・夫・上司が犯人だと警察の記録で判明 - GIGAZINE

ストーカーアプリの開発会社が当局から監視技術の販売禁止を命じられる - GIGAZINE

Instagramや出会い系アプリで住所を突き止めストーカーしてきた相手を逆に追い詰めて警察に逮捕させるまでの物語 - GIGAZINE

ユーザーのiPhoneを乗っ取るPegasusスパイウェアに感染させる「ゼロクリック攻撃」が3件確認される、背後で政府や軍が関与する可能性も - GIGAZINE

「Appleがロシアをスパイする目的でアメリカ政府に協力した」とロシア連邦保安庁が主張、「Apple製デバイスはスパイウェア天国」 - GIGAZINE

自分のAndroidスマホがスパイされているかどうかチェックできる「TheTruthSpy spyware lookup tool」 - GIGAZINE

in モバイル,   ソフトウェア,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.