Žmonėms, norintiems stebėti ir šnipinėti savo šeimas, yra visa šešėlinė pramonė. Keletas programų kūrėjų parduoda savo programinę įrangą (kartais vadinamą stalkerware) pavydiems partneriams, kurie gali naudoti šias programas norėdami nuotoliniu būdu pasiekti savo aukų telefonus.
Tačiau, nepaisant šių duomenų jautrumo, vis daugiau šių įmonių praranda didžiulį kiekį jų.
Remiantis „TechCrunch“ duomenimis, skaičiuojant naujausią „mSpy“ įsilaužimą, nuo 2017 m. buvo mažiausiai 20 „stalkerware“ įmonių, kurios buvo įsilaužusios arba nutekino klientų ir aukų duomenis internete. Tai nėra rašybos klaida: pastaraisiais metais buvo įsilaužta į 20 „stalkerware“ įmonių arba jų duomenys buvo atskleisti. Keturios „stalkerware“ įmonės buvo kelis kartus nulaužtos.
Vien 2024 m. įvyko mažiausiai du didžiuliai įsilaužimai į stalkerware. Naujausias pažeidimas paveikė mSpy, vieną iš ilgiausiai veikiančių stalkerware programų, ir atskleidė milijonus klientų aptarnavimo bilietų, kuriuose buvo milijonų klientų asmeniniai duomenys.
Anksčiau nežinomas įsilaužėlis įsilaužė į JAV įsikūrusios stalkerware gamintojos pcTattletale serverius. Tada įsilaužėlis pavogė ir nutekino vidinius įmonės duomenis. Jie taip pat sugadino oficialią „pcTattletale“ svetainę, siekdami sugėdinti įmonę. Įsilaužėlis atkreipė dėmesį į neseniai paskelbtą „TechCrunch“ straipsnį, kuriame pranešėme, kad „pcTattletale“ buvo naudojamas stebėti kelis JAV viešbučių tinklo registratūros kompiuterius.
Dėl šios įsilaužimo, nutekėjimo ir gėdos operacijos „pcTattletale“ įkūrėjas Bryanas Flemingas pareiškė, kad uždaro savo įmonę.
Vartotojų šnipinėjimo programos, tokios kaip mSpy ir pcTattletale, paprastai vadinamos „stalkerware“ (arba sutuoktinio programine įranga), nes pavydūs sutuoktiniai ir partneriai jas naudoja norėdami slapta stebėti ir stebėti savo artimuosius. Šios įmonės dažnai aiškiai reklamuoja savo produktus kaip sprendimus, kaip sugauti apgaudinėjančius partnerius, skatindamos neteisėtą ir neetišką elgesį. Be to, buvo iškeltos kelios teismo bylos, žurnalistiniai tyrimai ir smurto šeimoje prieglaudų apklausos, kurios rodo, kad internetinis persekiojimas ir stebėjimas gali sukelti realaus pasaulio žalos ir smurto atvejus.
Štai kodėl įsilaužėliai ne kartą nusitaikė į kai kurias iš šių įmonių.
Eva Galerpin, „Electronic Frontier Foundation“ kibernetinio saugumo direktorė ir pirmaujanti tyrėja bei aktyvistė, daug metų tyrinėjusi ir kovojusi su stalkerware, sakė, kad „stalkerware“ pramonė yra „minkštas taikinys“.
„Žmonės, vadovaujantys šioms įmonėms, galbūt nėra patys skrupulingiausi arba tikrai susirūpinę savo produkto kokybe“, – „TechCrunch“ sakė Galperinas.
Atsižvelgiant į „Stalkerware“ kompromisų istoriją, tai gali būti nepakankamai išreikšta. Ir dėl to, kad nepakankamai rūpinamasi savo klientų apsauga, taigi ir dešimčių tūkstančių netyčinių aukų asmeniniais duomenimis, naudotis šiomis programėlėmis yra dvigubai neatsakinga. Stalkerware klientai gali pažeisti įstatymus, piktnaudžiauti savo partneriais, neteisėtai juos šnipinėdami ir, be to, kelti pavojų visų duomenims.
Stalkerware įsilaužimų istorija
„Stalkerware“ pažeidimų banga prasidėjo 2017 m., kai įsilaužėlių grupė pažeidė JAV „Retina-X“ ir Tailande įsikūrusią „FlexiSpy“. Šie du įsilaužimai atskleidė, kad įmonės iš viso turėjo 130 000 klientų visame pasaulyje.
Tuo metu programišiai, kurie išdidžiai prisiėmė atsakomybę už kompromisus, aiškiai teigė, kad jų motyvai buvo atskleisti ir, tikiuosi, padėti sunaikinti pramonę, kurią laiko toksiška ir neetiška.
„Sudeginsiu juos ant žemės ir nepaliksiu niekur, kad jie galėtų pasislėpti“, – Motherboard sakė vienas iš įsilaužėlių.
Kalbėdamas apie „FlexiSpy“, įsilaužėlis pridūrė: „Tikiuosi, kad jie subyrės ir žlugs kaip įmonė, ir turės šiek tiek laiko apmąstyti, ką padarė. Tačiau bijau, kad jie gali pabandyti pagimdyti save nauja forma. Bet jei jie tai padarys, aš būsiu ten.
Nepaisant įsilaužimo ir ilgus metus trukusio neigiamo visuomenės dėmesio, „FlexiSpy“ vis dar veikia ir šiandien. To negalima pasakyti apie Retina-X.
Į Retina-X įsilaužęs įsilaužėlis nuvalė jos serverius, siekdamas trukdyti jo veiklai. Bendrovė atsigavo, o po metų ji vėl buvo nulaužta. Praėjus porai savaičių po antrojo pažeidimo, „Retina-X“ paskelbė, kad ji uždaroma.
Praėjus vos kelioms dienoms po antrojo Retina-X pažeidimo, įsilaužėliai užpuolė Mobistealth ir Spy Master Pro, pavogdami gigabaitus klientų ir verslo įrašų, taip pat aukų perimtus pranešimus ir tikslias GPS vietas. Kitas stalkerware pardavėjas, Indijoje įsikūręs SpyHuman, po kelių mėnesių susidūrė su tokiu pat likimu, kai įsilaužėliai pavogė tekstinius pranešimus ir skambučių metaduomenis, kuriuose buvo žurnalai, kas ir kada skambino.
Po kelių savaičių buvo pirmasis atsitiktinio duomenų atskleidimo, o ne įsilaužimo atvejis. „SpyFone“ paliko „Amazon“ priglobtą S3 saugyklą neapsaugotą internete, o tai reiškė, kad bet kas galėjo matyti ir atsisiųsti tekstinius pranešimus, nuotraukas, garso įrašus, kontaktus, vietą, užšifruotus slaptažodžius ir prisijungimo informaciją, „Facebook“ žinutes ir kt. Visi šie duomenys buvo pavogti iš aukų, kurių dauguma nežinojo, kad yra šnipinėjamos, jau nekalbant apie tai, kad jų jautriausi asmens duomenys taip pat buvo internete, kad visi galėtų pamatyti.
Kitos „stalkerware“ įmonės, kurios per daugelį metų neatsakingai paliko klientų ir aukų duomenis internete, yra „FamilyOrbit“, kuri internete paliko 281 gigabaitą asmeninių duomenų, apsaugotų tik lengvai randamu slaptažodžiu; mSpy, kuri 2018 m. nutekino daugiau nei 2 milijonus klientų įrašų; Xnore, leidžianti bet kuriam savo klientui matyti kitų klientų taikinių asmeninius duomenis, įskaitant pokalbių pranešimus, GPS koordinates, el. laiškus, nuotraukas ir dar daugiau; „Mobiispy“, kuri visiems prieinamame serveryje paliko 25 000 garso įrašų ir 95 000 vaizdų; KidsGuard, kuriame buvo netinkamai sukonfigūruotas serveris, dėl kurio nutekėjo aukų turinys; „pcTattletale“, kuri prieš įsilaužimą taip pat atskleidė aukų įrenginių ekrano kopijas, realiuoju laiku įkeltas į svetainę, kurią galėjo pasiekti bet kas; ir Xnspy, kurių kūrėjai paliko prisijungimo duomenis ir privačius raktus programų kode, leidžiančius bet kam pasiekti aukų duomenis.
Kalbant apie kitas „Stalkerware“ įmones, kurios iš tikrųjų buvo įsilaužtos, buvo „Copy9“, kuri matė, kad įsilaužėlis pavogė visų stebėjimo objektų duomenis, įskaitant tekstinius pranešimus ir „WhatsApp“ žinutes, skambučių įrašus, nuotraukas, kontaktus ir naršymo istoriją; „LetMeSpy“, kuri užsidarė po to, kai įsilaužėliai pažeidė ir išvalė jos serverius; Brazilijoje veikiantis „WebDetetive“, kurio serveriai taip pat buvo ištrinti, o vėliau vėl įsilaužti; „OwnSpy“, teikianti didžiąją dalį „WebDetetive“ programinės įrangos, taip pat buvo nulaužta; „Spyhide“, kurios kode buvo pažeidžiamumas, leidžiantis įsilaužėliams pasiekti pagrindines duomenų bazes ir daugelį metų pavogtus maždaug 60 000 aukų duomenis; „Oospy“, kuris buvo „Spyhide“ prekės ženklas, užsidarė antrą kartą; ir naujausias mSpy įsilaužimas, nesusijęs su anksčiau minėtu nutekėjimu.
Galiausiai yra „TheTruthSpy“, stalkerware programėlių tinklas, turintis abejotiną įrašą, kad buvo įsilaužta arba nutekėjo duomenys bent tris kartus.
Nulaužtas, bet neatgailavęs
Remiantis „TechCrunch“ duomenimis, aštuonios iš šių 20 „Stalkerware“ įmonių užsidarė.
Pirmuoju ir iki šiol unikaliu atveju Federalinė prekybos komisija uždraudė „SpyFone“ ir jos vadovui Scottui Zuckermanui veikti stebėjimo pramonėje po ankstesnio saugumo pažeidimo, dėl kurio buvo atskleisti aukų duomenys. Kita su Zuckerman susijusi „stalkerware“ operacija, pavadinta „SpyTrac“, vėliau buvo nutraukta atlikus „TechCrunch“ tyrimą.
„PhoneSpector“ ir „Highster“, kitos dvi įmonės, kurios, kaip žinoma, nebuvo įsilaužtos, taip pat užsidarė po to, kai Niujorko generalinis prokuroras apkaltino įmones aiškiai skatinant klientus naudoti savo programinę įrangą neteisėtam stebėjimui.
Tačiau įmonės uždarymas nereiškia, kad jos nebeliko amžiams. Kaip ir „Spyhide“ ir „SpyFone“, kai kurie tų pačių savininkų ir kūrėjų, užsiimančių užrakinto stalkerware gamintojo, tiesiog pakeitė prekės ženklą.
„Manau, kad šie įsilaužimai daro dalykus. Jie daro dalykus, daro įdubimą“, – sakė Galperinas. „Bet jei manote, kad įsilaužus į stalkerware kompaniją, jie tiesiog kratys kumščius, keiks jūsų vardą, dings mėlynų dūmų dvelksmu ir daugiau nebematysite, taip tikrai nebuvo.
„Dažniausiai nutinka, kai iš tikrųjų pavyksta nužudyti „stalkerware“ kompaniją, kad „stalkerware“ įmonė atsiranda kaip grybai po lietaus“, – pridūrė Galperinas.
Yra gerų naujienų. Praėjusių metų ataskaitoje saugos įmonė „Malwarebytes“ teigė, kad, remiantis jos pačios duomenimis apie klientus, užkrėstus tokio tipo programine įranga, „Stalkerware“ naudojimas mažėja. Be to, „Galperin“ praneša, kad padaugėjo neigiamų atsiliepimų apie šias programas, o klientai ar būsimi klientai skundžiasi, kad jos neveikia taip, kaip numatyta.
Tačiau Galperinas teigė, kad gali būti, kad saugos įmonės ne taip gerai aptinka persekiojimo programinę įrangą, kaip anksčiau, arba persekiotojai perėjo nuo programine įranga pagrįsto stebėjimo prie fizinio stebėjimo, kurį įgalino „AirTags“ ir kiti „Bluetooth“ palaikantys sekimo įrenginiai.
„Stalkerware neegzistuoja vakuume. „Stalkerware“ yra viso technologinio piktnaudžiavimo pasaulio dalis“, – sakė Galperinas.
Pasakykite ne stalkerware
Naudoti šnipinėjimo programas savo artimiesiems stebėti yra ne tik neetiška, bet ir neteisėta daugelyje jurisdikcijų, nes tai laikoma neteisėtu stebėjimu.
Tai jau yra svarbi priežastis nenaudoti stalkerware. Tada kyla problema, kad stalkerware kūrėjai ne kartą įrodė, kad negali apsaugoti duomenų – nei duomenų, priklausančių klientams, nei jų aukoms ar tikslams.
Kai kurie žmonės ne tik šnipinėja romantiškus partnerius ir sutuoktinius, bet ir naudoja stalkerware programas savo vaikams stebėti. Nors toks naudojimas, bent jau Jungtinėse Amerikos Valstijose, yra legalus, tai nereiškia, kad „Stalkerware“ naudojimas norint šnipinėti savo vaikų telefoną nėra baisu ir neetiška.
Net jei tai teisėta, Galperinas mano, kad tėvai neturėtų šnipinėti savo vaikų jiems nepasakę ir be jų sutikimo.
Jei tėvai informuoja savo vaikus ir sutinka, tėvai turėtų likti atokiau nuo nesaugių ir nepatikimų persekiojimo programų ir naudoti tėvų stebėjimo įrankius, integruotus Apple telefonuose ir planšetiniuose kompiuteriuose bei Android įrenginiuose, kurie yra saugesni ir veikia atvirai.
Atnaujinta liepos 16 d., siekiant įtraukti mSpy kaip naujausią šnipinėjimo programą, kuri turi būti pažeista.
Jei jums ar jūsų pažįstamam asmeniui reikia pagalbos, Nacionalinė smurto artimoje aplinkoje karštoji linija (1-800-799-7233) teikia nemokamą, konfidencialią pagalbą 24 valandas per parą, 7 dienas per savaitę, smurto šeimoje ir smurto aukoms. Jei atsidūrėte avarinėje situacijoje, skambinkite 911 Koalicija prieš „Stalkerware“. turi išteklių, jei manote, kad jūsų telefonas buvo pažeistas šnipinėjimo programų.