Une violation de données lors de l’opération de surveillance téléphonique mSpy a exposé des millions de ses clients qui ont acheté l’accès à l’application de logiciel espion téléphonique au cours de la dernière décennie, ainsi que la société ukrainienne qui la sous-tend.

En mai 2024, des attaquants inconnus ont volé des millions de tickets d’assistance client, y compris des informations personnelles, des e-mails envoyés à l’assistance et des pièces jointes, y compris des documents personnels. Bien que les piratages de fournisseurs de logiciels espions soient de plus en plus courants, ils restent remarquables en raison des informations personnelles très sensibles souvent incluses dans les données, dans ce cas sur les clients qui utilisent le service.

Le piratage englobait les dossiers du service client remontant à 2014, qui ont été volés dans le système d’assistance à la clientèle Zendesk du fabricant de logiciels espions.

mSpy est une application de surveillance téléphonique qui se présente comme un moyen de suivre les enfants ou de surveiller les employés. Comme la plupart des logiciels espions, il est également largement utilisé pour surveiller les personnes sans leur consentement. Ces types d’applications sont également connus sous le nom de « stalkerwares » car les personnes dans des relations amoureuses les utilisent souvent pour surveiller leur partenaire sans consentement ni permission.

L’application mSpy permet à la personne qui a implanté le logiciel espion, généralement quelqu’un qui avait auparavant un accès physique au téléphone d’une victime, de visualiser à distance le contenu du téléphone en temps réel.

Comme c’est souvent le cas avec les logiciels espions téléphoniques, les dossiers clients de mSpy comprennent des e-mails de personnes cherchant de l’aide pour suivre subrepticement les téléphones de leurs partenaires, parents ou enfants, selon l’examen des données par TechCrunch, que nous avons obtenu de manière indépendante. Certains de ces e-mails et messages incluent des demandes d’assistance à la clientèle de plusieurs militaires américains de haut rang, d’un juge en exercice de la cour d’appel fédérale des États-Unis, d’un chien de garde d’un département du gouvernement américain et d’un bureau du shérif du comté de l’Arkansas cherchant à obtenir une licence gratuite pour tester l’application.

Même après avoir amassé plusieurs millions de tickets de service client, on pense que les données Zendesk divulguées ne représentent que la partie de la clientèle globale de mSpy qui a contacté le support client. Le nombre de clients mSpy est probablement beaucoup plus élevé.

Pourtant, plus d’un mois après la violation, les propriétaires de mSpy, une société basée en Ukraine appelée Brainstack, n’ont pas reconnu ou divulgué publiquement la violation.

Troy Hunt, qui dirige le site de notification des violations de données Have I Been Pwned, a obtenu une copie de l’ensemble des données divulguées, ajoutant environ 2,4 millions d’adresses e-mail uniques de clients mSpy au catalogue des violations de données passées de son site.

Hunt a déclaré à fr.techtribune.netqu’il avait contacté plusieurs abonnés de Have I Been Pwned avec des informations sur les données piratées, qui lui ont confirmé que les données divulguées étaient exactes.

mSpy est la dernière opération de logiciel espion téléphonique à avoir été piratée ces derniers mois, selon une liste récemment compilée par TechCrunch. La violation chez mSpy montre une fois de plus qu’on ne peut pas faire confiance aux fabricants de logiciels espions pour assurer la Sécurité de leurs données, qu’il s’agisse de celles de leurs clients ou de leurs victimes.

Des millions de messages clients mSpy

fr.techtribune.neta analysé l’ensemble de données divulgué – plus de 100 gigaoctets d’enregistrements Zendesk – qui contenait des millions de tickets de service client individuels et leurs adresses e-mail correspondantes, ainsi que le contenu de ces e-mails.

Certaines des adresses e-mail appartiennent à des victimes involontaires qui ont été ciblées par un client de mSpy. Les données montrent également que certains journalistes ont contacté l’entreprise pour obtenir des commentaires à la suite de la dernière violation connue de l’entreprise en 2018. Et, à plusieurs reprises, des agents des forces de l’ordre américaines ont déposé ou cherché à déposer des assignations à comparaître et des demandes légales auprès de mSpy. Dans un cas, à la suite d’un bref échange d’e-mails, un représentant de mSpy a fourni à un agent du FBI les informations de facturation et d’adresse d’un client de mSpy – un suspect criminel présumé dans une affaire d’enlèvement et d’homicide.

Chaque ticket de l’ensemble de données contenait un ensemble d’informations sur les personnes contactant mSpy. Dans de nombreux cas, les données comprenaient également leur emplacement approximatif basé sur l’adresse IP de l’appareil de l’expéditeur.

fr.techtribune.neta analysé l’emplacement des clients contactés par mSpy en extrayant toutes les coordonnées de localisation de l’ensemble de données et en traçant les données dans un outil de cartographie hors ligne. Les résultats montrent que les clients de mSpy sont situés dans le monde entier, avec de grands groupes en Europe, en Inde, au Japon, en Amérique du Sud, au Royaume-Uni et aux États-Unis.

L’achat d’un logiciel espion n’est pas illégal en soi, mais la vente ou l’utilisation d’un logiciel espion pour espionner quelqu’un sans son consentement est illégal. Les procureurs américains ont Fabricants de logiciels espions inculpés Dans le passé, les autorités fédérales et les organismes de surveillance des États ont interdit les entreprises de logiciels espions de l’industrie de la surveillance, citant les risques de cybersécurité et de confidentialité que les logiciels espions créent. Clients qui installent des logiciels espions peut également faire l’objet de poursuites pour avoir enfreint les lois sur l’écoute téléphonique.

Les e-mails contenus dans les données Zendesk divulguées montrent que mSpy et ses opérateurs sont parfaitement conscients de l’utilisation des logiciels espions par les clients, y compris la surveillance des téléphones à l’insu de la personne. Certaines des demandes citent des clients demandant comment supprimer mSpy du téléphone de leur partenaire après que leur conjoint l’ait découvert. L’ensemble de données soulève également des questions sur l’utilisation de mSpy par les responsables et les agences du gouvernement américain, les services de police et le système judiciaire, car il n’est pas clair si l’utilisation du logiciel espion a suivi une procédure judiciaire.

Selon les données, l’une des adresses e-mail concerne Kevin Newsom, un juge d’appel en exercice de la Cour d’appel des États-Unis pour le onzième circuit de l’Alabama, de la Géorgie et de la Floride, qui a utilisé son e-mail officiel du gouvernement pour demander un remboursement à mSpy.

Kate Adams, directrice des relations de travail à la Cour d’appel des États-Unis pour le onzième circuit, a déclaré à TechCrunch : « L’utilisation du juge Newsom était entièrement dans sa capacité personnelle à traiter une affaire familiale. » Adams a refusé de répondre à des questions spécifiques sur l’utilisation de mSpy par le juge ou sur le consentement du sujet de la surveillance de Newsom.

L’ensemble de données montre également l’intérêt des autorités américaines et des forces de l’ordre. Un courriel d’un membre du personnel du Bureau de l’inspecteur général de l’Administration de la sécurité sociale, un organisme de surveillance chargé de superviser l’agence fédérale, a demandé à un représentant de mSpy si le chien de garde pouvait « utiliser [mSpy] dans le cadre de certaines de nos enquêtes criminelles », sans préciser comment.

Contacté par TechCrunch, un porte-parole de l’inspecteur général de l’Administration de la sécurité sociale n’a pas expliqué pourquoi le membre du personnel s’est renseigné sur mSpy au nom de l’agence.

Le département du shérif du comté de l’Arkansas a cherché à obtenir des essais gratuits de mSpy, officiellement pour fournir des démonstrations du logiciel aux parents du quartier. Ce sergent n’a pas répondu à la question de fr.techtribune.netpour savoir s’ils étaient autorisés à contacter mSpy.

L’entreprise derrière mSpy

Il s’agit de la troisième violation de données connue de mSpy depuis la création de l’entreprise en 2010 environ. mSpy est l’une des plus anciennes opérations de logiciels espions téléphoniques, ce qui explique en partie pourquoi elle a accumulé autant de clients.

Malgré sa taille et sa portée, les opérateurs de mSpy sont restés cachés à la vue du public et ont largement échappé à la surveillance – jusqu’à présent. Il n’est pas rare que les fabricants de logiciels espions dissimulent l’identité réelle de leurs employés afin de protéger l’entreprise des risques juridiques et de réputation associés à la conduite d’une opération mondiale de surveillance téléphonique, qui est illégale dans de nombreux pays.

Mais la violation des données Zendesk de mSpy a révélé que sa société mère était une société technologique ukrainienne appelée Brainstack.

Le site Web de Brainstack ne mentionne pas mSpy. Tout comme ses offres d’emploi publiques, Brainstack ne fait référence qu’à son travail sur une application de « contrôle parental » non spécifiée. Mais le vidage des données internes de Zendesk montre que Brainstack est largement et intimement impliqué dans les opérations de mSpy.

Dans les données Zendesk divulguées, fr.techtribune.neta trouvé des enregistrements contenant des informations sur des dizaines d’employés ayant des adresses e-mail Brainstack. Beaucoup de ces employés étaient impliqués dans le support client de mSpy, par exemple en répondant aux questions des clients et aux demandes de remboursement.

Les données Zendesk divulguées contiennent les vrais noms et, dans certains cas, les numéros de téléphone des employés de Brainstack, ainsi que les faux noms qu’ils ont utilisés lorsqu’ils ont répondu aux tickets des clients mSpy pour cacher leur propre identité.

Contactés par TechCrunch, deux employés de Brainstack ont confirmé leurs noms tels qu’ils ont été trouvés dans les documents divulgués, mais ont refusé de discuter de leur travail avec Brainstack.

Le directeur général de Brainstack, Volodymyr Sitnikov, et la haute dirigeante, Kateryna Yurchuk, n’ont pas répondu aux multiples courriels demandant des commentaires avant la publication. Au lieu de cela, un représentant de Brainstack, qui n’a pas fourni son nom, n’a pas contesté notre reportage mais a refusé de fournir des réponses à une liste de questions pour les dirigeants de l’entreprise.

On ne sait pas comment l’instance Zendesk de mSpy a été compromise ni par qui. La violation a d’abord été divulguée par la pirate informatique basée en Suisse Maia Arson Crimew, et les données ont ensuite été mises à la disposition de DDoSecrets, une société nonRofit Transparency Collective qui indexe les ensembles de données divulgués dans l’intérêt public.

Contactée pour un commentaire, la porte-parole de Zendesk, Courtney Blake, a déclaré à fr.techtribune.net: « À l’heure actuelle, nous n’avons aucune preuve que Zendesk ait subi une compromission de sa plate-forme », mais n’a pas voulu dire si l’utilisation de Zendesk par mSpy pour soutenir ses opérations de logiciels espions a violé ses conditions d’utilisation.

« Nous nous engageons à respecter notre politique de contenu et de conduite des utilisateurs et à enquêter sur les allégations de violations de manière appropriée et conformément à nos procédures établies », a déclaré le porte-parole.

Si vous ou quelqu’un que vous connaissez avez besoin d’aide, la Ligne d’assistance nationale contre la violence domestique (1-800-799-7233) offre un soutien gratuit et confidentiel 24 heures sur 24, 7 jours sur 7 aux victimes de violence domestique. Si vous êtes en situation d’urgence, composez le 911. Le Coalition contre les stalkerwares dispose de ressources si vous pensez que votre téléphone a été compromis par un logiciel espion.