Gegevens 400.000 met spyware-app bespioneerde gebruikers op straat

Hackers hebben de database met loggegevens van de spionage-app mSpy buitgemaakt en online gezet. Volgens de site waarop de data zijn geplaatst, gaat het om gegevens van meer dan 400.000 personen, waaronder wachtwoorden, locatiedata en betaalgegevens.

Vorige week maakten hackers honderden gigabytes aan data buit van de servers van mSpy, meldt beveiligingsonderzoeker Brian Krebs op zijn blog Krebs on Security. De onbekende hackers plaatsten de gegevens op een site die enkel via de Tor-browser kan worden bezocht. In het readme-bestand dat de hackers op de pagina plaatsten, staat dat het zou gaan om data van meer dan 400.000 door mSpy bespioneerde personen. De database zou onder meer Apple-id's plus wachtwoorden, betaalgegevens van ongeveer 145.000 transacties, locatiedata en foto's bevatten. Bij de gelekte data staan volgens Krebs ook supportvragen van klanten die de app installeerden op het toestel van degene die ze wilden volgen.

MSpy is een product van een gelijknamig bedrijf; volgens Krebs zitten twee programmeurs uit het Verenigd Koninkrijk en Rusland achter het bedrijf. De spyware is er voor Android-, Blackberry- en iOS-telefoons; daarnaast is ook een versie voor desktopcomputers beschikbaar. Het programma kan onder andere de gps-locatie, webgeschiedenis, e-mail, whatsapp-berichten en toetsaanslagen registreren. Die worden vervolgens opgeslagen op de server van het bedrijf, waarna degene die gebruikers wil tracken ze kan inzien via een webinterface. Volgens het bedrijf zijn er meer dan 1 miljoen klanten die gebruikmaken van mSpy. Het bedrijf heeft nog niet gereageerd op de hack.

Volgens mSpy is zijn product bedoeld voor het monitoren van kinderen of werknemers. Het bedrijf belooft dat de app volledig onzichtbaar te werk gaat. In veel landen, waaronder Nederland, is het echter verboden voor particulieren of bedrijven om zomaar mensen af te luisteren zonder hun toestemming. MSpy schrijft daarom op zijn site dat gebruikers zelf verantwoordelijk zijn voor de naleving van de wet; het bedrijf wijst aansprakelijkheid voor illegaal gebruik van de software af.

In november vorig jaar werd in de Verenigde Staten een Deense maker van een soortgelijke spionage-app veroordeeld tot een boete van 500.000 dollar, omgerekend ruim 400.000 euro. Het verkopen van spyware is strafbaar volgens Amerikaanse wetgeving. Het was de eerste keer dat in de VS iemand werd veroordeeld voor het maken van spionagesoftware.

Door Friso Weijers

Redacteur

15-05-2015 • 14:50

35

Lees meer

Reacties (35)

35
34
31
2
0
0
Wijzig sortering
Ze hadden beter de data van de mensen die de app hebben geinstalleerd online kunnen zetten, ipv de slachtoffers. Er moet toch wel een link zijn tussen de mensen die gemonitord worden en de mensen die monitoren?

Dit soort hack vind ik niet erg (spyware makers ontmaskeren), maar het kwakkelloos dumpen val alle data is idioot en daarom hoop ik dat de hackers worden gevonden en pak en beet 20jaar de cel in verdwijnen. Nu zijn de slachtoffers nogmaals de slachtoffer!
In de tekst van de link in het stuk staat o.a. het volgende:
Also included in the data dump are thousands of support request emails from people around the world who paid between $8.33 to as much as $799 for a variety of subscriptions to mSpy’s surveillance software.
Anoniem: 234453 @kcks15 mei 2015 16:17
Het vestigt in ieder geval nog maar eens de aandacht op dit soort malafide software, je weet maar nooit dat dat goed is om wat meer privacybewustzijn bij de mensen te kweken. Maar ik vrees dat het een kwaad is dat alleen maar erger zal worden. En straks hebben we ook nog een gratis keylogger in Windows 10... Microsoft en de NSA wrijven zich al in de handen.
En dat terwijl waarschijnlijk 99 van de 100 slachtoffers zelf niet eens de software heeft geïnstalleerd...

Heeft iemand enig idee wat de hackers bezielde om dit online te zetten? Zo veel data tegenkomen is leuk, maar het kopiëren en online zetten is toch voor niemand grappig?
Het bewijst alleen maar meer dat software, die wie dan ook gemaakt is, nooit waterdicht zal zijn.
Natuurlijk, maar 3 screenshots had net zo veel bewijs geweest.
Als dat punt bewijzen je doel was had je het ook niet op een Tor-site gezet, maar had je bijvoorbeeld Tweakers een mail kunnen sturen.

Ben overigens benieuwd of er Nederlanders tussen zitten, of zij het weten en wat voor actie ze gaan ondernemen. Ik heb geen idee wat ik zou doen, maar als mijn werkgever dit zou doen had ik in ieder geval niet meer op komen dagen :P

Edit: @ Ting87:
Er is in mijn werkgebied genoeg werk om dat soort dingen nooit te hoeven accepteren. Als ze dat per sé willen regelen ze maar een extra laptop en telefoon. Als het even kan wil ik ook bij het complete netwerkinfrastructuur kunnen komen en bij mijn huidige werk mag dat gewoon. Is zelfs 1 van de redenen dat ik de baan heb gekregen. Ik zal me nooit laten afluisteren in ruil voor geld. Of jij moet 10x zo veel verdienen dan ik, dan mogen ze het wel :P Koop ik zelf wel extra apparatuur.

[Reactie gewijzigd door Ample Energy op 23 juli 2024 02:00]

Mijn werkgever verplicht Mobile Iron ofzo, (heb zelf geen telefoon van ze) en heb begrepen van mensen die er naar hebben gekeken dat ze je wel volgen maar geen keystrokes loggen.
Accepteer je die app niet op je telefoon mag je niet meer op bedrijfsnetwerk, als je daar niet op komt kan je je werk niet doen.

Komt er dus vaak op neer dat het take it or leave it is, en je kan mij niet vertellen dat je dan je ontslag indient.
Beetje rare gang van zaken. Wanneer een werkgever wil dat je met een mobile telefoon je e-Mail leest dan zijn er de volgende opties:
  • Je krijgt mobile van de zaak waarop de werkgever de App zonder probleem kan verplichten
  • Je krijgt een vergoeding van de zaak voor gebruik prive telefoon voor de zaak, ook in dit geval is het aan de werkgever om je verplichten de app er op te zetten;
  • Je krijgt niks, dan is het heel simpel, dan hoef je ook geen e-mail van de zaak op je telefoon. Wil je werkgever dat, dan is het 1 van de eerste twee.
.
En ik denk dat heel veel mensen er een beetje verkeerd naar kijken wat betreft het feit "anders kan ik niet werken". Wanneer een werkgever je verplicht om thuis te werken buiten werktijd of ook per e-mail buiten de zaak te werken buiten werktijd om dan is het aan de werkgever om a) Finaniceel te compenseren en b) de benodigde faciliteiten beschikbaar te stellen (laptop, telefoon et cetera).

En de vraag is, hoezo kan je niet werken wanneer je geen verbninding hebt met het bedrijfsnetwerk vanaf je prive telefoon zonder middelen van de zaak (vergoeding of telefoon). Dan is het antwoord heel simpel: het wordt niet van je verwacht. Voordeel, minder stress :)

Daaarnaast is het een leuke discussie, sommige mensen (veelal sales) hebben een onkostenvergoeding, veelal zit daar zakelijk gebruik van prive middelen in (staat vaak ook in de av). Die kunnen zich niet verschuilen achter "het is mijn privetelefoon".

[Reactie gewijzigd door Wim-Bart op 23 juli 2024 02:00]

Ik kan me voorstellen dat dit is zodat je kan uitzoeken of je er ook zelf tussen staat.
En daar heb je locatiegegevens, wachtwoorden en ga maar door voor nodig? Een .txt met namen had genoeg geweest.
Ik ben het met je eens dat het lastig te verdedigen is. Ik kan me voorstellen dat iemand het voor de LULZ heeft gedaan of dat die te lui was om een scriptje voor een .txt met namen te schrijven.
Te lui lijkt me sterk na alle moeite die ze hebben genomen om die data in handen te krijgen. Ik denk eerder dat er geld is gevraagd mspy daar niet op in gegaan is en nu dus alle data is gepubliceert. Hackers zijn niet allemaal eerlijke jongens he..

[Reactie gewijzigd door ro8in op 23 juli 2024 02:00]

Anoniem: 463321 @Eomer15 mei 2015 15:45
Ik kan me voorstellen dat dit is zodat je kan uitzoeken of je er ook zelf tussen staat.
Als dat de reden was had het niet enkel via Tor gekund.
Wachtwoorden en persoonlijke info er bij neerzetten is ook niet nodig.
Heeft iemand enig idee wat de hackers bezielde om dit online te zetten?
Because they can? Waarom denkt iedereen hier dat de hackers uit nobel motief handelen? Gewoon, chaos, alles online, ont-zet-tend grappig voor de hackers, zelfverheerlijking en laten zien dat ze het kunnen. Misschien nog gecombineerd met een hekel hebben aan mSpy, of zelfs nog een concurrent bevoordelen.

Hacks worden vaak zo verheerlijkt, alsof het altijd maar goed is om een beveiligingslek aan te tonen... men zal raar staan te kijken als je computer en TV ineens buiten op straat staan omdat de sloten op je voordeur echt niet veilig zijn.

[Reactie gewijzigd door Zoijar op 23 juli 2024 02:00]

Ik verwacht niet dat de gemiddelde hacker zoiets doet voor een goede zaak, maar juist omdat ik dat niet verwacht vind ik het onzinnig om het online te zetten. Als je echt zo'n coole crimineel bent, ga er dan geld mee verdienen. "Gewoon chaos" komt op mij over of je je potentieel niet durft te gebruiken.
Het is misschien beter dan de gegevens verkopen, want dan gaat iemand er ook echt iets mee doen, maar ik vind het vreemd. Misschien concurrentie of zelfverheerlijking inderdaad. Wel leuk om een documentaire over te maken: De motivatie achter internetchaos.
Heeft iemand enig idee wat de hackers bezielde om dit online te zetten?
Backup ?

Met de mentaliteit van iemand bespioneren en de buitgemaakte info op een insiders-only-server plaatsen, zullen er ook wel mensen zijn die deze info verder verspreiden of misbruiken. Niets is meer vreemd.
"Heeft iemand enig idee wat de hackers bezielde om dit online te zetten?" - waarom denk je dat je nu uberhaupt dit bericht kunt lezen? De bestanden online pleuren is het bewijs wat mensen nodig hebben om te accepteren dat de hack echt is.

Disclaimer: ik zie het liever ook niet gebeuren hoor. Mensen worden nu mogelijk de dupe van het feit dat zo'n waardeloze service bestaat.

[Reactie gewijzigd door gimbal op 23 juli 2024 02:00]

Online zetten is de nieuwe manier van protest voeren tegen een bepaald beleid. Het komt nu in het nieuws dus dat betekend dat veel bedrijven die het gebruiken het ook lezen en het product verwijderen. mSpy verliest daardoor klanten en als het heel hard loopt zijn ze binnen een mum van tijd failliet.
Zodat het bedrijf onder vuur komt te liggen, zeker als mensen hun eigen data tegen komen en helemaal als ze niet wisten dat iemand een app op hun telefoon heeft gezet die hun bespioneerde. Maar vermits de data alleen over TOR beschikbaar is zal het publiek er niet mee in aanraking komen, tenzij journalisten door de data gaan spitten en er over schrijven. Toen Gamma international (finfisher) gehackt werd en die kerel zijn reddit post naar de frontpage ging is er veel aandacht geweest maar ik denk dat het bedrijf er niet te veel schade van heeft ondervonden.

[Reactie gewijzigd door Kain_niaK op 23 juli 2024 02:00]

Ben wel benieuwd hoe je besmet raakt met deze spyware. Moet echt iemand dit installeren? Of zit het in andere apps verstopt? Hoe kan je weten of je zelf met deze spyware besmet bent?

Als firmware-hopper ben ik altijd bang dat custom firmware stiekem spyware bevat. :P

[Reactie gewijzigd door Sando op 23 juli 2024 02:00]

Het is software die voor 'management' is bedoeld. Ja, het kan bij een firmware zitten (diegene die het in de firmware duwt kan 't dan via de management site zien) maar ik gok dat als iemand flink wat users heeft dat dit wel snel een vlaggetje doet rijzen bij mSpy zelf.
Ben wel benieuwd hoe je besmet raakt met deze spyware. Moet echt iemand dit installeren? Of zit het in andere apps verstopt? Hoe kan je weten of je zelf met deze spyware besmet bent?

Als firmware-hopper ben ik altijd bang dat custom firmware stiekem spyware bevat. :P
Het is geen SpyWare in de variant zoals je normal kan verwachten. Deze software moet gëinstalleerd worden. Het is gewoon een soort "Remote Management" software.
Als firmware-hopper ben ik altijd bang dat custom firmware stiekem spyware bevat. :P
Daarom zal ik nooit 'lukraak' firmware's installeren, zelfs niet van XDA.
Ik wil eerst weten of de dev al meer ervaring heeft, en of er al een redelijke userbase is ( betreffende topic )
Ook apps die ik daar vandaan haal, wil ik eerst het topic doorlezen, hoe "geweldig" de app ook mag klinken.

* recent een Youtube downloader gezocht, en op XDA gevonden, de dev is er al langer mee bezig, en vrijwel iedereen is er over te spreken ( wat niet inhoudt dat het ook veilig blijft )
Phew een paar 100GB's aan data is niet zo zuinig, teveel om te downloaden.
Meer dan 1.000.000 klanten is zeker niet verkeerd.
Zeker grappig is dat de database dus de NAW van zowel slachtoffers als opdrachtgevers bevat.

Interessant is het feit dat de applicatie op 'niet ge-jailbreakte' iPhones te installeren is.
Wat eigenlijk inhoudt dat een app op een iPhone te side-loaden/injecteren is.

Nu we toch met 'spyware' bezig zijn.
De social engineering hack van APT17 was ook een mooie stunt. Gericht hacken en binnendringen van overheid en NGO's via ondermeer geimplanteerde code (blackcoffee) bij trusted websites zoals Technet.....
https://www2.fireeye.com/WEB-2015RPTAPT17.html
http://techcrunch.com/201...her-targets/#.kzzbll:FMFz

Edit: Dacht opeens..dat was niet de eerste keer dat Technet misbruikt was. 2 jaar geleden was het ze ook overkomen:
http://www.malwaretech.co...tion-something-truly.html

[Reactie gewijzigd door kwakzalver op 23 juli 2024 02:00]

Interessant is het feit dat de applicatie op 'niet ge-jailbreakte' iPhones te installeren is.
Wat eigenlijk inhoudt dat een app op een iPhone te side-loaden/injecteren is.
Dat was al langer mogelijk
Recent : nieuws: Popcorn Time omzeilt App Store dankzij verlopen iOS-certificaten van bedrijven

En voorheen kon je Jailbreak & Cydia installeren door een linkje op het grote boze web, dat was ook een vorm van Side loading
Is het niet zo dat dit spyware systeem als een framework te embedden is in een app. Het is blijkbaar gericht op bedrijven die willen bijhouden wat hun medewerkers uitspoken. Als ze dan intern een app maken, kunnen ze mogelijk gewoon een library van dit systeem invoegen. En het zo als een enkele app distribueren.

Dan is het niet "sideloaden" maar is het gewoon een app welke bijvoorbeeld intern wordt verspreid door de IT afdeling van het bedrijf. Waarvoor Apple oplossingen aanbied.
tja, ze beweren enkel dat het programma onzichtbaar is, er staat nergens dat ze een veilige omgeving aanbieden...
Een programma kan dan ook nooit onzichtbaar zijn er is altijd wel ergens een process id en traceerbaar in het geheugen.
Een programma kan dan ook nooit onzichtbaar zijn er is altijd wel ergens een process id en traceerbaar in het geheugen.
Nagenoeg onzichtbaar, het zit vrij diep in het systeem en heeft geen eigen PID. Het is meer als een module die zich ergens diep in het OS heeft genesteld (Onder Windows dan, op foon weet ik niet).

Overigens fijn dat ik een Windows Phone heb in dit geval :-)
Anoniem: 601896 15 mei 2015 14:54
goh, dit komt mijn inziens niet onverwacht.

Al in de windows98, tijd was het zo dat 'tools of spyware' die je als gebruiker kon installeren op de computer van 'een bekende' die gegevens niet alleen met jou deelden, maar dat die gegevens ook bij andere vage clubjes terecht kwamen.
Vraag me af of mspy eerst geblackmailt is voor geld en dat dit dus en consequentie is van het niet betalen van de randsom.
Meteen aanpakken, aanklagen en geld eisen (als je gedupeerd bent).
Dat het bedrijf het lef heeft zich te verschuilen als regen 'we zijn niet verantwoordelijk' slaat nergens op.
Men weet wel dat wachtwoorden/accounts van id's gewoon diefstal is en overal verboden is.
Dat zijn aardig wat mensen..
Iemand de moeite genomen om alles te downloaden om te kijken wat voor mensen er tussen staan?

Zou de overheid ( van welke land dan ook ) misbruik maken van dit soort acties voor eigen best wil om informatie in te winnen van eventuele personen die ze in de gaten houden? Als een soort van "legale" manier om informatie te werven zeg maar.
Dan is de maker van mspy verantwoordelijk voor het verlies van die vertrouwelijke data... Data die wellicht niet vergaard mochten worden - de privacycommissie zal nog harder mogen werken allicht. Het enige instituut in Belgie dat goed werkt - maar dat mag dan ook gezegd worden!

Op dit item kan niet meer gereageerd worden.