image

Spywarebedrijf lekt selfies, sms-berichten en locatiedata klanten

donderdag 23 augustus 2018, 16:32 door Redactie, 4 reacties

Een softwarebedrijf dat spyware voor ouders en werkgevers ontwikkelt heeft de vertrouwelijke data van 2200 klanten gelekt. Het gaat om het bedrijf SpyFone, de ontwikkelaar van "eenvoudig te gebruiken monitoring" waarmee ouders hun kinderen in de gaten kunnen houden, zo meldt Vice Magazine.

Ook richt het bedrijf zich op werkgevers, zodat die kunnen controleren of werknemers wel verantwoord omgaan met de zakelijke telefoon. Via de software is het mogelijk om gesprekken op te nemen, de locatie van de gebruiker te volgen, foto's te bekijken, berichten in chatapplicaties te lezen, bezochte websites te achterhalen en live met de gebruiker mee te kijken. Een bijbehorende analysetool kan pdf- of Excel-bestanden genereren waarmee er "gedetailleerd inzicht" kan worden verkregen in de activiteiten van het kind of de werknemer.

Een beveiligingsonderzoeker ontdekte een onbeveiligde Amazon S3-bucket van SpyFone die voor iedereen op internet toegankelijk was. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens kunnen opslaan. De bucket bevatte volgens de onderzoeker "terabytes" aan data, waaronder selfies, sms-berichten, audio-opnamen, adresboeken, locaties, gehashte wachtwoorden, Facebookberichten en foto's van 2200 klanten. Deze klanten zouden bij elkaar bijna 3700 telefoons volgen. Verder bevatte de data ook 44.000 unieke e-mailadressen.

Tevens bleken de backenddiensten van het bedrijf onbeveiligd te zijn. De onderzoeker kon zo zonder wachtwoord inloggen, zelf een beheerdersaccount aanmaken en allerlei klantgegevens bekijken. SpyFone heeft het datalek inmiddels bevestigd en zegt dat het een onderzoek is gestart. "We verwachten dat dit datalek de laatste zal zijn", aldus een woordvoerder van het bedrijf.

Reacties (4)
23-08-2018, 18:06 door Anoniem
Data open en bloot op S3. Dat kan alleen als je dat ZELF (bewust) doet. Dat kan niet automatisch. Dus een klojo was dom bezig. Vervolgens geen authenticatie op backends.... en dan durven zeggen "We verwachten dat dit datalek de laatste zal zijn".

Ik durf te stellen dat "Dit het eerste lek is van nog velen te komen" bij dit bedrijf. Tenzij ze direct failliet gaan. Dan hebben ze gelijk.

Waarom krijgt zo'n bedrijf geen boete van 2200 * 1000 euro/dollar? Waarom mogen bedrijven nog steeds onze privacy te grabbel gooien. Beveiliging bestaat al zolang het internet er is (20 jaar). Dat is toch genoeg tijd om het goed te doen? En bij fouten gewoon straffen? Hoelang nog......

TheYOSH
23-08-2018, 18:54 door Anoniem
Ongeloofelijk, ten eerste al dat ouders dit soort software kopen om het volledige prive leven van hun kinderen in te kunnen zien, die hebben ook recht op een stukje privacy... Ten tweede een S3 bucket volledig open unencrypted op het internet, daarnaast de backend zonder encryptie en wachtwoorden bereikbaar vanuit het internet? Ik zeg zo snel mogelijk dit bedrijf opdoeken want die weten totaal niet waar ze mee bezig zijn.

Heb medelijden met die kinderen waar ouders dit soort software hebben geinstalleerd, zou zo maar kunnen dat er later ineens prive fotos van hun opduiken die echt prive hadden moeten blijven. Als een bedrijf dit soort software verplichten bij werknemers dan zijn ze denk ik in stijd met de AVG / GDPR, er wordt veel meer data verzameld dan nodig.
24-08-2018, 10:43 door Anoniem
Waarom krijgt zo'n bedrijf geen boete van 2200 * 1000 euro/dollar?

Geen idee, op basis waarvan concludeer je dat ze geen boete krijgen ?
24-08-2018, 12:46 door Anoniem
gelukkig, nooit meer een datalek, spyphone gaat de boeken in als de laatste datalek in de geschiedenis van de mens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.