概要:ハクティビストがストーカーウェアの顧客データを暴露
ハクティビストが、個人を監視するための「ストーカーウェア」アプリ提供企業から、50万件を超える顧客の支払い記録をスクレイピングし、流出させたことが判明しました。流出したデータには、ストーカーウェアサービスの支払いを行った顧客のメールアドレスや、一部の支払い情報が含まれており、人々をスパイするために費用を支払った顧客の情報が露呈しました。
流出したデータの内容と関係企業
今回流出した取引記録には、Geofinder、uMobix、Peekviewer(旧Glassagram)などの電話追跡サービスや、プライベートなInstagramアカウントへのアクセスを謳うサービスなど、ウクライナの企業Strukturaが提供する複数の監視・追跡アプリの顧客データが含まれています。また、2022年に数万人のAndroidおよびiPhoneユーザーの個人データを流出させたことで知られる電話監視アプリXnspyの取引記録も含まれていました。
流出データには以下の情報が含まれています:
- 顧客のメールアドレス
- 顧客が支払ったアプリまたはブランド名
- 支払額
- 支払いカードの種類(Visa、Mastercardなど)
- カード番号の下4桁
ただし、支払い日は含まれていませんでした。
TechCrunchによるデータの検証
TechCrunchは、流出したデータの信憑性を検証しました。複数の使い捨てメールアドレスを用いて、各監視アプリのパスワードリセットポータルを通じて検証を行った結果、これらのアカウントが実在するものであることを確認しました。また、流出したデータに含まれるユニークな請求書番号を監視ベンダーのチェックアウトページと照合し、パスワードなしで顧客および取引データを取得できることを確認することで、データの正確性を裏付けました。
ハクティビストの動機と企業の対応
「wikkid」と名乗るハクティビストはTechCrunchに対し、ウェブサイトの「些細なバグ」を利用してデータをスクレイピングしたと語っています。彼は「人々をスパイするために使われるアプリを標的にするのは楽しい」と述べ、その後、流出したデータを既知のハッキングフォーラムに公開しました。フォーラムでは監視ベンダーとしてErsten Groupの名が挙げられていますが、TechCrunchの調査により、この企業はウクライナのStruktura社と同一のウェブサイトを持つことが判明しています。
流出データにはStruktura社のCEOであるViktoriia Zosim氏のメールアドレスも含まれており、彼女による1ドルの取引記録が最も古いものとして確認されています。Ersten GroupおよびStrukturaの代表者は、TechCrunchからのコメント要請に応じていません。
ストーカーウェアの危険性と法的問題
uMobixやXnspyのようなストーカーウェアアプリは、一度個人の電話にインストールされると、通話記録、テキストメッセージ、写真、閲覧履歴、正確な位置情報などのプライベートなデータを無断でアップロードし、アプリをインストールした人物と共有します。これらのアプリは、配偶者や国内のパートナーを監視する目的で公然と販売されており、このような行為は違法です。
過去数年間で、多くのストーカーウェアアプリがセキュリティの脆弱性により顧客情報を漏洩しており、その中には被害者自身のデータも含まれるケースがあります。今回の事件は、監視ベンダーのずさんなセキュリティ対策が顧客情報漏洩を招く最新の事例となりました。