Un fabricant de logiciels espions peu connu basé dans le Minnesota a été piraté, a appris TechCrunch, révélant des milliers d'appareils à travers le monde sous sa surveillance à distance furtive.
Une personne connaissant la violation a fourni à TechCrunch une cache de fichiers provenant des serveurs de l'entreprise contenant des journaux d'activité détaillés des téléphones, tablettes et ordinateurs surveillés par Spytech, certains des fichiers datant de début juin.
TechCrunch a vérifié l'authenticité des données en analysant certains des journaux d'activité des appareils exfiltrés qui concernent le PDG de l'entreprise, qui a installé le logiciel espion sur l'un de ses propres appareils.
Les données montrent que le logiciel espion de Spytech - Realtime-Spy et SpyAgent, entre autres - a été utilisé pour compromettre plus de 10 000 appareils depuis les enregistrements fuités les plus anciens de 2013, y compris des appareils Android, des Chromebooks, des Mac et des PC Windows dans le monde entier.
Spytech est le dernier fabricant de logiciels espions à avoir lui-même été compromis au cours des dernières années, et le quatrième fabricant de logiciels espions connu pour avoir été piraté rien qu'en cette année, selon le décompte en cours de TechCrunch.
Lorsqu'il a été contacté pour commenter, le PDG de Spytech, Nathan Polencheck, a déclaré que l'e-mail de TechCrunch "était la première fois que j'entendais parler de la violation et je n'ai pas vu les données que vous avez vues, donc pour le moment, tout ce que je peux vraiment dire, c'est que je tout enquête et prendrai les mesures appropriées."
Spytech est un fabricant d'applications d'accès à distance, souvent appelées "stalkerware", qui sont vendues sous le prétexte de permettre aux parents de surveiller les activités de leurs enfants mais sont également commercialisées pour espionner les appareils des conjoints et partenaires domestiques. Le site Web de Spytech fait ouvertement la promotion de ses produits pour la surveillance conjugale, promettant de "garder un œil sur le comportement suspect de votre conjoint".
Alors que surveiller l'activité des enfants ou des employés n'est pas illégal, surveiller un appareil sans le consentement du propriétaire est illégal, et les opérateurs de logiciels espions et les clients de logiciels espions ont tous deux été poursuivis pour la vente et l'utilisation de logiciels espions.
Les applications de stalkerware sont généralement installées par quelqu'un ayant un accès physique à l'appareil d'une personne, souvent avec connaissance de son code d'accès. Par nature, ces applications peuvent rester cachées et sont difficiles à détecter et à supprimer. Une fois installé, le logiciel espion envoie des frappes de clavier et des tapes d'écran, l'historique de navigation Web, l'utilisation de l'activité de l'appareil et, dans le cas des appareils Android, des données de localisation granulaires vers un tableau de bord contrôlé par celui qui a installé l'application.
Les données compromises, vues par TechCrunch, contiennent des journaux de tous les appareils sous le contrôle de Spytech, y compris des enregistrements de l'activité de chaque appareil. La plupart des appareils compromis par le logiciel espion sont des PC Windows, et dans une moindre mesure des appareils Android, des Mac et des Chromebooks.
Les journaux d'activité des appareils que nous avons vus n'étaient pas chiffrés.
TechCrunch a analysé les données de localisation issues des centaines de téléphones Android compromis, et a tracé les coordonnées dans un outil de cartographie hors ligne pour préserver la vie privée des victimes. Les données de localisation fournissent une idée, bien que pas complète, de l'endroit où se trouvent au moins une partie des victimes de Spytech.
Notre analyse des données mobiles montre que Spytech a d'importants regroupements d'appareils surveillés à travers l'Europe et les États-Unis, ainsi que des appareils localisés en Afrique, en Asie et en Australie, et au Moyen-Orient.
L'un des enregistrements associés au compte administrateur de Polencheck comprend la géolocalisation précise de sa maison à Red Wing, Minnesota.
Alors que les données contiennent des montagnes de données sensibles et d'informations personnelles obtenues à partir des appareils des individus - dont certains ignoreront probablement que leurs appareils sont surveillés - les données ne contiennent pas suffisamment d'informations identifiables sur chaque appareil compromis pour que TechCrunch puisse informer les victimes de la violation.
Lorsqu'on lui a demandé par TechCrunch, le PDG de Spytech n'a pas dit si l'entreprise prévoyait d'informer ses clients, les personnes dont les appareils ont été surveillés, ou les autorités de l'État américain comme l'exige les lois sur la notification des violations de données.
Un porte-parole du procureur général du Minnesota n'a pas répondu à une demande de commentaire.
Spytech remonte au moins à 1998. La société a opéré largement sous le radar jusqu'en 2009, lorsqu'un homme de l'Ohio a été reconnu coupable d'avoir utilisé le logiciel espion de Spytech pour infecter les systèmes informatiques d'un hôpital pour enfants voisin, ciblant le compte de messagerie électronique de son ex-partenaire qui y travaillait.
Les médias locaux ont rapporté à l'époque, et TechCrunch a vérifié à partir des dossiers judiciaires, que le logiciel espion a infecté les systèmes de l'hôpital pour enfants dès que son ex-partenaire a ouvert le logiciel espion joint, qui, selon les procureurs, collectait des informations sensibles sur la santé. La personne qui a envoyé le logiciel espion a plaidé coupable à l'interception illégale de communications électroniques.
Spytech est le deuxième fabricant de logiciels espions basé aux États-Unis à avoir été victime d'une violation de données ces derniers mois. En mai, pcTattletale basé au Michigan a été piraté et son site Web a été vandalisé, et la société a ensuite fermé et supprimé les données des appareils des victimes plutôt que de notifier les personnes concernées.
Le service de notification de violation de données Have I Been Pwned a ensuite obtenu une copie des données compromises et a répertorié 138,000 clients ayant souscrit au service.
Si vous ou quelqu'un que vous connaissez avez besoin d'aide, la National Domestic Violence Hotline (1-800-799-7233) fournit un soutien gratuit et confidentiel 24 heures sur 24 aux victimes de violence domestique et d'abus. Si vous êtes dans une situation d'urgence, appelez le 911. La Coalition Against Stalkerware propose des ressources si vous pensez que votre téléphone a été compromis par un logiciel espion.
