mSpy-Dashboard
Betroffen ist der Hersteller mSpy. Dieser bietet eine Spionage-Malware und einen angeschlossenen Cloud-Service an, mit dem sich unter anderem Mobiltelefone komplett überwachen lassen. So lässt sich jederzeit der Standort herausfinden, Anrufe werden protokolliert, WhatsApp und Snapchat werden auslesbar gemacht. Aber auch die gespeicherten Daten können komplett eingesehen werden.
Das Unternehmen wirbt unter anderem mit glücklichen Eltern, die sich durch mSpy in die Lage versetzt fühlten, jeden Schritt und jede Tätigkeit ihres Kindes nachvollziehen zu können. Das kann nun aber auch prinzipiell jeder andere tun, berichtet der Sicherheits-Experte Brian Krebs in seinem renommierten Blog KrebsOnSecurity.
Demnach habe ihn ein Informant darauf hingewiesen, dass die Nutzerdatenbank des Unternehmens zum großen Teil über das per Tor erreichbare Deep Web abrufbar ist. Die Datenmenge umfasst mehrere hundert Gigabyte. Enthalten sein sollen dabei die ausgespähten Daten von rund 400.000 Smartphone-Nutzern. Das umfasst nicht nur die Informationen über das Nutzungsverhalten, sondern auch zahlreiche Apple-IDs und die Daten zu 145.000 Zahlungsvorgängen für die Nutzung von mSpy.
Wie Krebs ausführt, konnte noch kein zu bestätigender kompletter Überblick über die Informationen hergestellt werden. Allerdings ist schon jetzt klar, dass sehr sensible Informationen von zahlreichen Minderjährigen, aber auch Angestellten von Firmen mit kontrollwütigen Vorgesetzten, öffentlich einsehbar sind. Das betrifft Fotos, die mit den Smartphones geschossen wurden, private Gespräche mit Messengern, Firmen-Interna und vieles mehr
Der Anbieter des Spionage-Dienstes ist hinsichtlich dieser Angelegenheit quasi abgetaucht. Entsprechende Anfragen werden schlicht nicht beantwortet. Das dürfte sich auch kaum ändern, da es schwer ist, physisch an die Firma heranzukommen. Diese gibt zwar an, über Niederlassungen in den USA, Großbritannien und Deutschland zu verfügen – eine Adresse findet sich aber nirgends. Lediglich im Falle einer Strafverfolgung wäre es so vermutlich möglich, über die Zahlungswege an die Hintermänner heranzukommen. Datenbank-Beschreibung im Deep Web Zumindest in den USA gab es schon mehrfach Verfahren gegen Unternehmen mit vergleichbaren Angeboten. Denn auch wenn die Anbieter versuchen, sich als Kinderschützer mit ehrenwerten Motiven auszugeben, wird der Vertrieb von Spionage-Malware generell als kriminell angesehen, da die Produkte massiv in die Persönlichkeitsrechte der Betroffenen eingreifen.
Auskunft des Kundendienstes
Update: Inzwischen liegt uns so etwas wie eine offizielle Verlautbarung seitens des Unternehmens vor. Zumindest ein Support-Mitarbeiter des Kundenservice-Chats stritt komplett ab, dass es ein Datenleck gab. Angesichts des sonstigen Schweigens ist die Glaubwürdigkeit dessen aber erst einmal fraglich.