モバイルスパイウェア「mSpy」から個人データを含む数百万件のカスタマーサポートチケットが流出、なんとこれで3回目

電話監視アプリ「mSpy」で、過去10年間にmSpyへのアクセスを購入した数百万人のユーザーや企業の情報が流出したと報じられています。mSpyがユーザーの個人情報を漏えいしたのは2018年以来で、今回で3度目となります。
Data breach exposes millions of mSpy spyware customers | TechCrunch
https://techcrunch.com/2024/07/11/mspy-spyware-millions-customers-data-breach/
mSpyはスマートフォンに導入することで、自分の子どもやパートナー、部下を監視することができるアプリです。mSpyを仕掛けた人は、対象の携帯電話の内容をリモートでリアルタイムに閲覧できるようになります。

今回は、スパイウェアメーカーのZendeskを利用した顧客サポートシステムがハッキングされ、2014年までさかのぼる顧客サービス記録が盗み出されました。mSpyからユーザーのデータが漏えいしたのは今回が初めてではなく、2018年にも数百万人分の顧客情報が流出しています。
監視アプリの「mSpy」が数百万人分の顧客情報を流出、3年で2度目の大規模漏えい - GIGAZINE

データ侵害を通知する「Have I Been Pwned?」を運営するトロイ・ハント氏は、mSpyから240万件のメールアドレスを含む合計318GBの顧客データが漏えいしたと報告しています。このデータにはカスタマーサポートチケットの件名とIPアドレスのほか、ユーザーの記録としてクレジットカードの写真やヌードの自撮り写真なども含まれていたとのこと。
New sensitive breach: mSpy had 2.4M unique email addresses exposed in a 318GB breach last month. Data included name & IP address in user records & support tickets, plus photos of credit cards & nude selfies. 54% were already in @haveibeenpwned. More: https://t.co/3wTQtlBj13— Have I Been Pwned (@haveibeenpwned) July 11, 2024
また、IT系ニュースサイトのTechCrunchがデータを分析したところ、流出したメールアドレスの一部は顧客だけではなく、顧客から監視されていた人のものも含まれていたそうです。また、mSpyの担当者が誘拐殺人事件の容疑者とされるユーザーの情報をFBIに提供していた記録もあったとのこと。
今回のデータ漏えいによって、Zendeskの親会社がBrainstackというウクライナのテクノロジー企業であることが判明。TechCrunchは、漏えいしたデータの中に「Brainstackのドメインを持つ電子メールアドレス」が数十人分含まれていたと指摘しています。また、mSpyの顧客によるサポートチケットに返信する際、Brainstackの社員が偽名を使っていたこともわかりました。
TechCrunchが実際にBrainstackの従業員2名に連絡をとったところ、2名とも漏えいしたデータに自分の名前が記載されていることは認めたものの、業務内容については話すことを拒否しました。
Zendeskの広報担当者はTechCrunchに対して「現時点で、Zendeskのプラットフォームが侵害されたという証拠はありません」と述べましたが、プライバシーを侵害する監視アプリのmSpyはZendeskのプラットフォームの利用規約に違反していないかについては語りませんでした。

なお、今回の情報漏えいを最初に明らかにしたスイスのハッカーのmaia arson crimewは「公共の利益のため」として、漏えいしたデータセットを非営利の透明性団体に提供したそうです。