Spywareleverancier mSpy heeft tien jaar aan klantgegevens gelekt, nadat aanvallers toegang kregen tot de Zendesk-omgeving van het bedrijf. Het gaat onder andere om 2,4 miljoen e-mailadressen. Via Zendesk biedt mSpy klantondersteuning. Bij de inbraak zijn miljoenen supporttickets gestolen, met persoonlijke informatie van klanten. De data gaat terug tot 2014, zo meldt TechCrunch, dat over miljoenen getroffen klanten spreekt.

Via mSpy kunnen gebruikers het telefoongebruik van een ander monitoren, zoals inkomende en uitgaande gesprekken, sms-berichten, e-mails, gps-locatie, chatgesprekken, internetgebruik en kan er toegang tot het adresboek en agenda worden verkregen. Om de spyware te installeren is in het geval van Androidtelefoons fysieke toegang tot het toestel nodig. Installatie op een iPhone kan door middel van fysieke toegang of iCloud-inloggegevens, aldus de beschrijving van de spyware. Veel van de mSpy-klanten bevinden zich in Europa, maar het bedrijf heeft wereldwijd gebruikers.

Volgens beveiligingsonderzoeker Troy Hunt gaat het om 142 gigabyte aan gebruikersdata en supporttickets, alsmede 176 gigabyte aan bijlagen. In totaal betrof de gestolen dataset 2,4 miljoen unieke e-mailadressen, ip-adressen, namen en foto's. De gestolen data betreft voornamelijk supporttickets van klanten die hulp zoeken voor het installeren van de spyware op de telefoon van hun slachtoffer. De bijlagen betreffen screenshots van financiële transacties, foto's van creditcards en naaktselfies.

Hunt is tevens oprichter van datalekzoekmachine Have I Been Pwned en heeft de gestolen e-mailadressen daaraan toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 2,4 miljoen adressen was 54 procent al via een ander datalek bij de zoekmachine bekend. MSpy heeft in het verleden met meerdere datalekken te maken gekregen, waarbij zowel gegevens van klanten als slachtoffers op straat kwamen te liggen.