В результате несанкционированного доступа к базе данных компании Struktura, специализирующейся на разработке программного обеспечения для мониторинга мобильных устройств, произошла утечка конфиденциальной информации. Злоумышленник, идентифицированный как wikkid, получил доступ к более чем полумиллиону записей, содержащих данные о финансовых операциях клиентов, которые пользовались услугами компании.
Утечка затронула личные данные пользователей приложений Geofinder, uMobix, Peekviewer (ранее Glassagram) и других продуктов, разработанных украинской компанией. Кроме того, были обнародованы данные о транзакциях, проведённых через сервис Xnspy, который ранее уже был вовлечён в аналогичные инциденты. По данным TechCrunch, база данных Xnspy содержит около 536 тысяч записей, включающих адреса электронной почты, наименования сервисов, суммы транзакций, типы банковских карт (Visa или Mastercard) и последние четыре цифры номеров карт. Важно отметить, что даты платежей не указаны.
Хотя полные данные банковских карт не были раскрыты, наличие части этой информации представляет значительную угрозу для пользователей. Редакторы TechCrunch провели проверку подлинности данных, используя одноразовые почтовые адреса из базы, и подтвердили их аутентичность через функции восстановления пароля. Также были верифицированы уникальные номера счетов, которые совпадали с данными на страницах оплаты сервисов без необходимости аутентификации. Эти факты свидетельствуют о серьёзных недостатках в системе безопасности компании.
Хактивист, известный как wikkid, заявил, что несанкционированный доступ был осуществлён из-за «банальной ошибки» на веб-сайте компании. Он целенаправленно атакует приложения для мониторинга и публикует украденные данные на хакерских форумах. Приложения, установленные на мобильные устройства, такие как uMobix и Xnspy, передают третьим лицам обширный спектр информации, включая текстовые сообщения, аудиозаписи звонков, фотографии, историю браузера и данные о геолокации. Эти продукты позиционируются как инструменты для мониторинга партнёров и супругов, что в ряде юрисдикций является незаконным.
Данный инцидент не является единичным случаем утраты контроля над конфиденциальными данными клиентами со стороны разработчиков программного обеспечения для мониторинга. В последние годы десятки аналогичных сервисов стали жертвами взломов и утечек из-за недостаточной защиты данных. Эта ситуация вызывает серьёзное беспокойство, поскольку компании, предлагающие такие продукты, зачастую не способны обеспечить должный уровень безопасности для своих пользователей, что ставит под угрозу их конфиденциальность и приватность.