Продающая шпионское ПО компания допустила утечку данных
На незащищенном сервере были обнаружены фотографии, текстовые сообщения, аудиозаписи, контакты и пр.
Компания Spyfone, продающая программное обеспечение для слежки, оставила «терабайты данных», включая фотографии, аудиозаписи, текстовые сообщения и историю web-поиска, в открытом доступе на некорректно настроенном сервере Amazon S3. Об этом сообщает портал Motherboard. По словам исследователя безопасности, пожелавшего остаться неизвестным из-за боязни юридических последствий, на сервере были обнаружены фотографии, текстовые сообщения, аудиозаписи, контакты, данные о местонахождении, пароли, а также сообщения в Facebook.
На прошлой неделе исследователь изучил данные на сервере Amazon S3, принадлежащем Spyfone, одной из многих компаний, продающих программное обеспечение, предназначенное для перехвата текстовых сообщений, звонков, сообщений электронной почты и местоположения контролируемого устройства. По словам специалиста, обнаруженные данные содержат несколько терабайт «незашифрованных фотографий».
«Существует как минимум 2 208 текущих «клиентов», а также сотни или тысячи фотографий и аудио в каждой папке. В настоящее время насчитывается 3666 отслеживаемых телефонов», — отметил специалист.
Обнаруженные данные также включали 44109 уникальных адресов электронной почты. По словам исследователя, бэкэнд-сервис компании также был открытым, не требуя пароля для входа в систему. Таким образом эксперт смог создать учетную запись администратора и посмотреть данные клиентов.
Spyfone также оставила один из своих API полностью незащищенным, позволяя любому, кто знает адрес, просматривать постоянно обновляющийся список клиентов. На сайте отображаются имена и фамилии, адреса электронной почты и IP-адреса.
Как отметили представители Spyfone, в настоящее время компания ведет расследование инцидента.
