Cocospy en Spyic, twee spyware-apps voor Android en iPhone, hebben de gegevens van miljoenen gebruikers en slachtoffers gelekt. Het gaat om e-mailadressen van gebruikers, maar ook door de spyware onderschepte berichten, foto's en gespreksgeschiedenis van telefoons. De spywareleveranciers omschrijven hun software zelf als 'remote surveillance' oplossing.

De Androidversie moeten gebruikers op de telefoon van hun slachtoffer installeren. Voor iOS gaat om een webgebaseerde applicatie. In dit geval bevindt de spyware zich niet op de telefoon, maar monitort die iCloud-back-ups waaruit allerlei informatie wordt gehaald. Gebruikers moeten dan ook over de iCloud-inloggegevens van hun slachtoffer beschikken. In het geval van gejailbreakte iPhones biedt de spyware 'geavanceerde features', zoals het monitoren van Facebook en Instagram. De spyware-applicaties lijken grotendeels op dezelfde code te zijn gebaseerd.

Een kwetsbaarheid maakt het mogelijk om de e-mailadressen van gebruikers te zien en de informatie die de spyware-apps verzamelden. Een beveiligingsonderzoeker informeerde TechCrunch, dat stelt dat het om een relatief eenvoudig te misbruiken beveiligingslek gaat. De website informeerde beide spywareleveranciers, maar kreeg geen reactie. Ook is het beveiligingslek niet verholpen. TechCrucnh heeft dan ook besloten om details niet te publiceren.

De onderzoeker die de kwetsbaarheid ontdekte gebruikte het probleem om de e-mailadressen van 1,81 miljoen Cocospy-gebruikers en 880.000 Spyic-gebruikers te downloaden. De e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de Cocospy-mailadressen was vijftig procent al via een ander datalek bij Have I Been Pwned bekend. In het geval van Spyic was 46 procent van de e-mailadressen al een keer eerder gelekt.