Продающая шпионское ПО компания допустила утечку данных

Компания Spyfone, продающая программное обеспечение для слежки, оставила «терабайты данных», включая фотографии, аудиозаписи, текстовые сообщения и историю web-поиска, в открытом доступе на некорректно настроенном сервере Amazon S3. Об этом сообщает портал Motherboard.

По словам исследователя безопасности, пожелавшего остаться неизвестным из-за боязни юридических последствий, на сервере были обнаружены фотографии, текстовые сообщения, аудиозаписи, контакты, данные о местонахождении, пароли, а также сообщения в Facebook.

На прошлой неделе исследователь изучил данные на сервере Amazon S3, принадлежащем Spyfone, одной из многих компаний, продающих программное обеспечение, предназначенное для перехвата текстовых сообщений, звонков, сообщений электронной почты и местоположения контролируемого устройства. По словам специалиста, обнаруженные данные содержат несколько терабайт «незашифрованных фотографий».

«Существует как минимум 2 208 текущих «клиентов», а также сотни или тысячи фотографий и аудио в каждой папке. В настоящее время насчитывается 3666 отслеживаемых телефонов», - отметил специалист.

Обнаруженные данные также включали 44109 уникальных адресов электронной почты. По словам исследователя, бэкэнд-сервис компании также был открытым, не требуя пароля для входа в систему. Таким образом эксперт смог создать учетную запись администратора и посмотреть данные клиентов.

Spyfone также оставила один из своих API полностью незащищенным, позволяя любому, кто знает адрес, просматривать постоянно обновляющийся список клиентов. На сайте отображаются имена и фамилии, адреса электронной почты и IP-адреса.

Как отметили представители Spyfone, в настоящее время компания ведет расследование инцидента.