モバイルスパイウェア「mSpy」から個人データを含む数百万件のカスタマーサポートチケットが流出、なんとこれで3回目
電話監視アプリ「mSpy」で、過去10年間にmSpyへのアクセスを購入した数百万人のユーザーや企業の情報が流出したと報じられています。mSpyがユーザーの個人情報を漏えいしたのは2018年以来で、今回で3度目となります。
Data breach exposes millions of mSpy spyware customers | TechCrunch
https://techcrunch.com/2024/07/11/mspy-spyware-millions-customers-data-breach/
mSpyはスマートフォンに導入することで、自分の子どもやパートナー、部下を監視することができるアプリです。mSpyを仕掛けた人は、対象の携帯電話の内容をリモートでリアルタイムに閲覧できるようになります。
今回は、スパイウェアメーカーのZendeskを利用した顧客サポートシステムがハッキングされ、2014年までさかのぼる顧客サービス記録が盗み出されました。mSpyからユーザーのデータが漏えいしたのは今回が初めてではなく、2018年にも数百万人分の顧客情報が流出しています。
監視アプリの「mSpy」が数百万人分の顧客情報を流出、3年で2度目の大規模漏えい - GIGAZINE
データ侵害を通知する「Have I Been Pwned?」を運営するトロイ・ハント氏は、mSpyから240万件のメールアドレスを含む合計318GBの顧客データが漏えいしたと報告しています。このデータにはカスタマーサポートチケットの件名とIPアドレスのほか、ユーザーの記録としてクレジットカードの写真やヌードの自撮り写真なども含まれていたとのこと。
New sensitive breach: mSpy had 2.4M unique email addresses exposed in a 318GB breach last month. Data included name & IP address in user records & support tickets, plus photos of credit cards & nude selfies. 54% were already in @haveibeenpwned. More: https://t.co/3wTQtlBj13
— Have I Been Pwned (@haveibeenpwned) July 11, 2024
また、IT系ニュースサイトのTechCrunchがデータを分析したところ、流出したメールアドレスの一部は顧客だけではなく、顧客から監視されていた人のものも含まれていたそうです。また、mSpyの担当者が誘拐殺人事件の容疑者とされるユーザーの情報をFBIに提供していた記録もあったとのこと。
今回のデータ漏えいによって、Zendeskの親会社がBrainstackというウクライナのテクノロジー企業であることが判明。TechCrunchは、漏えいしたデータの中に「Brainstackのドメインを持つ電子メールアドレス」が数十人分含まれていたと指摘しています。また、mSpyの顧客によるサポートチケットに返信する際、Brainstackの社員が偽名を使っていたこともわかりました。
TechCrunchが実際にBrainstackの従業員2名に連絡をとったところ、2名とも漏えいしたデータに自分の名前が記載されていることは認めたものの、業務内容については話すことを拒否しました。
Zendeskの広報担当者はTechCrunchに対して「現時点で、Zendeskのプラットフォームが侵害されたという証拠はありません」と述べましたが、プライバシーを侵害する監視アプリのmSpyはZendeskのプラットフォームの利用規約に違反していないかについては語りませんでした。
なお、今回の情報漏えいを最初に明らかにしたスイスのハッカーのmaia arson crimewは「公共の利益のため」として、漏えいしたデータセットを非営利の透明性団体に提供したそうです。
・関連記事
脆弱性の存在が指摘される消費者向けスパイウェア「pcTattletale」のサーバーがハッキングされ内部データが流出 - GIGAZINE
ホテルのチェックイン用コンピューターでスパイウェアが見つかる、宿泊客の情報がスクリーンショットで撮影されインターネット上に流出 - GIGAZINE
「ゲイでケモナー」を自称するハッカー集団が保守系シンクタンクを攻撃したと主張するもシンクタンク側は否定 - GIGAZINE
広く使用されているユーザー認証プロトコルを危険にさらす「Blast RADIUS攻撃」が報告される - GIGAZINE
X(旧Twitter)でロシアのプロパガンダを拡散していた約1000個のアカウントを押収したと当局が発表 - GIGAZINE
100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も - GIGAZINE
・関連コンテンツ