mSpy làm rò rỉ hàng triệu hồ sơ nhạy cảm của khách hàng

Thành Luân
Thành Luân
06/09/2018 12:35 GMT+7

Báo cáo từ chuyên gia an ninh Brian Krebs của KrebsOnSecurity cho biết, mSpy đã làm rò rỉ thông tin nhạy cảm của hơn 1 triệu khách hàng bởi phần mềm gián điệp.

Theo Neowin, phần mềm theo dõi di động mSpy chủ yếu tập trung vào các bậc phụ huynh như là cách để theo dõi các hoạt động của con họ trên điện thoại cá nhân. Khi ra mắt vào năm 2010, mSpy đã nhận được những phản ứng tiêu cực, đặc biệt liên quan đến vấn đề đạo đức. Vào năm 2015, công ty bị tấn công mạng khiến dữ liệu khách hàng bị đăng trên Dark Web.
Sau 3 năm kể từ sự cố 2015, mSpy tiếp tục rơi vào cảnh tương tự khi làm rò rỉ thông tin nhạy cảm (bao gồm tên người dùng và mật khẩu) của hơn 1 triệu khách hàng và thiết bị của mình. Tất cả thông tin cá nhân này được xuất hiện trên cơ sở dữ liệu trang web mở mà không yêu cầu bất kỳ sự xác thực nào để truy cập.
Hơn 1 triệu thông tin nhạy cảm từ khách hàng của mSpy đã bị rò rỉ Ảnh: KrebsOnSecurity
Số lượng dữ liệu người dùng nhạy cảm được hiển thị trước khi nó được đưa vào trạng thái ngoại tuyến sau đó. Tên người dùng, mật khẩu và khóa mã hóa của người dùng đã mua giấy phép mSpy bất kỳ lúc nào trong sáu tháng qua hoặc thậm chí chỉ cần đăng nhập vào trang web của công ty đều xuất hiện. Điều quan trọng là, khóa mã hóa sẽ cho phép bất kỳ ai theo dõi thiết bị di động đang chạy phần mềm.
Nhưng đó không phải là tất cả. Tên khách hàng, địa chỉ email, chi tiết giao dịch của khách hàng, nhật ký người dùng và nhiều thứ khác cũng bị rò rỉ. Các hồ sơ rò rỉ không chỉ giới hạn ở dữ liệu người dùng có liên quan đến mSpy mà còn bao gồm thông tin trình duyệt, tên người dùng Apple iCloud và mã thông báo xác thực, cũng như tin nhắn WhatsApp và Facebook của người dùng đã cài đặt ứng dụng di động mSpy. Hơn nữa, hoạt động của người dùng cũng có thể xem được trong thời gian thực.
Nhà nghiên cứu bảo mật Nitish Shah đã phát hiện ra vụ việc và trao đổi với nhân viên mSpy nhưng nhận được phản ứng thờ ơ từ họ, thậm chí không được cho liên lạc với CTO hoặc giám đốc an ninh công ty.
Trong khi đó, công ty an ninh mạng KrebsOnSecurity cũng đã liên lạc với mSpy tuần trước và nhận được thư trả lời qua email rằng mSpy rất quan tâm đến việc bảo vệ hệ thống của mình khỏi sự rò rỉ, tấn công mạng và tiết lộ thông tin cá nhân. Hãng cũng nói rằng tất cả tài khoản khách hàng công ty được mã hóa an toàn và dữ liệu bị xóa sổ trong một thời gian ngắn lưu trữ nhằm ngăn các hành vi vi phạm dữ liệu. Tuy nhiên mSpy đã không nêu rõ số lượng và phạm vi dữ liệu bị rò rỉ mà chỉ gọi đó là các vi phạm có thể ở một vài điểm truy cập và hoạt động.
Mặc dù vậy, với lượng cơ sở dữ liệu bị rò rỉ như trên, chắc chắn câu hỏi về chính sách bảo mật của công ty rất được quan tâm, đặc biệt khi khách hàng là những bậc phụ huynh trả tiền cho ứng dụng để giúp họ theo dõi hoạt động con cái của mình, dẫn đến việc vi phạm quyền riêng tư là rất nghiêm trọng.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.