Aus Spionierenden werden Ausspionierte: Eine Datenpanne des Unternehmens, dass die Telefonüberwachungsapp mSpy betreibt, sorgt für die Offenlegung von Millionen von Nutzerdaten. Die App wird vor allem von Eltern genutzt, um ihre Kinder unbemerkt zu überwachen – aber auch Arbeitnehmer setzen die Spionagesoftware zur Überwachung von Mitarbeitern ein.
Laut Hersteller handelt es sich bei mSpy um eine Telefonüberwachungs-App zur Überwachung von Kindern oder Mitarbeitern. Die Überwachung geschieht in der Regel ohne Zustimmung der Überwachten. Da Fälle bekannt wurden, dass Personen auf diese Weise heimlich ihren Beziehungspartner überwachten, wird eine solche Software auch als Stalkerware bezeichnet.
Dazu ist es notwendig, physischen Zugriff auf das Handy, das überwacht werden soll, zu erhalten und dann die Software zu installieren. Die überwachte Person bemerkt später weder die Installation noch die im Hintergrund laufende Spionagesoftware. Mit der Software ist es dann möglich, den Inhalt des Telefons aus der Ferne und in Echtzeit einsehen.
Der Kauf von Spyware an sich ist nicht illegal, aber die Verwendung von Spyware zum Ausspionieren von Personen ohne deren Zustimmung ist rechtswidrig.
Wie nun bekannt wurde, gelang es Hackern, Millionen von Kundendaten zu der Spionageapp zu erbeuten. Die Datensätze reichen zurück bis ins Jahr 2014. Dazu gehören persönliche Informationen der Nutzer, sowie E-Mails an den Support und Anhänge, einschließlich persönlicher Dokumente. Neben Kundendaten befanden sich darunter auch Kontaktdaten von Personen, die ausspioniert werden sollten. Alle Daten stammen aus dem Kundensupportsystem des Spyware-Herstellers.
Besonders brisant: Zu ausspionierten Kunden gehören auch US-Militärs, ein amtierender US-Bundesberufungsrichter, Strafverfolgungsbehörden und ein Bezirks-Sheriffbüro. Unter anderem übermittelte mSpy einem FBI-Agenten die Rechnungs- und Adressdaten eines mSpy-Kunden, der Tatverdächtiger in einem Entführungs- und Mordfall war.
Der Datenklau wurde nicht durch das Unternehmen selbst publik, sondern durch die Website Have I Been Pwned?. Auf der Website können Personen ihre Daten eingeben und überprüfen, ob diese durch Datenlecks kompromittiert wurden. Einer der Mitarbeiter der Website erhielt eine Liste mit 2,4 Millionen E-Mailadressen aus dem mSpy-Datenklau. Daraufhin wurden jene Have I been Pawned-Abbonenten kontaktiert, deren Daten in der Liste auftauchten. Sie bestätigten die Authentizität der Daten.
Woher die Attacke kam und wer sie ausführte, ist derzeit nicht bekannt.
Bilder:
Smartphone: StockSnap via Pixabay
mSpy-Logo: Pudkovka, CC BY-SA 4.0, via Wikimedia Commons
Autor: Florian Schimikowski
Veröffentlicht am: 15.07.2024