Uma empresa que vende um software de espionagem para iPhones sofreu um vazamento de dados de milhões de usuários.
A mSpy, que oferece uma ferramenta para quem quer checar o que filhos ou parceiros fazem seus iPhones, teve um banco de dados com informações de 2 milhões de seus usuários vazados, segundo o site TechCrunch.
Entre as informações vazadas estão dados de compras de software, nomes de usuários do iCloud, e até tokens de autenticação dos dispositivos, registros de chamadas, mensagens, histórico de navegação e até mensagens de WhatsApp e Facebook de quem tinha o aplicativo instalado no celular.
Informações sobre compradores do app também fazem parte do vazamento – ou seja, tanto os espiões quanto os espionados pelo serviço foram afetados pela falha.
A falha foi descoberta pelo desenvolvedor Nitish Shah, que diz que era possível acessar os registros sem necessidade de autenticação. Depois de ser descrita pelo pesquisador de segurança Brian Krebs em seu blog, o acesso passou a ser restrito.
É pelo menos a segunda vez que informações de usuários do mSpy vazam na rede: em 2015, o serviço foi hackeado, e a empresa demorou uma semana para reconhecer o ataque. Agora, no entanto, não houve nenhum tipo de invasão, e sim um problema de segurança mais frágil do que o indicado.