mSpy falla nel database. Esposti oltre 2 milioni di account

mSpy, una società che vende software progettato per consentire agli utenti di spiare i propri figli, partner o chiunque altro si voglia tenere d’occhio, ha lasciato esposti più di due milioni di record “inclusi acquisti software e nomi utente iCloud e token di autenticazione di dispositivi che eseguono mSky ” .

La falla è emersa per la prima volta dallo sviluppatore Nitish Shah, e divulgato tramite il blog dedicato alla sicurezza Krebs ,informando di una vulnerabilità nel database online di mSpy. Il database non protetto non richiedeva l’autenticazione e “consentiva a chiunque di interrogare record mSpy aggiornati sia per le transazioni dei clienti sul sito  ,sia per i dati di telefonia mobile raccolti dal software di mSpy.

Il database è stato protetto dopo che Krebs aveva contattato i gestori mSpy, ma in base agli screenshot pubblicati sul suo sito, chiunque avesse scoperto la violazione avrebbe potuto accedere ai registri delle chiamate, ai testi, alle cronologie dei browser e ai token di autenticazione e nome utente iCloud e Whatsapp e messaggi Facebook di persone con il software mSpy in esecuzione sui loro telefoni. I dati interni della società mSpy esposti “includevano i dettagli della transazione di tutte le licenze mSpy acquistate negli ultimi sei mesi, inclusi il nome del cliente, l’indirizzo e-mail, l’indirizzo postale e l’importo pagato”, ha aggiunto Krebs.