ロジャー・フィンガス
· 1分で読めます
最近、iCloud ユーザー名や認証トークンなど、何百万人もの個人データが mSpy Web データベース上で公開されましたが、削除されるまでは認証は必要ありませんでした。
データベースがオフラインになったのは今週初めだったと、セキュリティ研究者のニティーシュ・シャー氏から警告を受けたライターのブライアン・クレブス氏は述べている。データベースにはiCloud情報に加え、mSpyのログとログイン情報、秘密の暗号化キー、そして6ヶ月間分のmSpyライセンスの取引情報も含まれていた。
mSpyは、家族のデバイスをスパイし、アプリ内でのアクティビティを追跡することを目的としています。このようなスパイウェアは米国では販売が違法であり、実際、mSpyを開発する企業の所在地は不明瞭です。
シャー氏は自身の発見についてmSpyに警告しようとしたが、CTOまたはセキュリティ責任者への連絡を求めたところ、同社のライブサポートチームからブロックされたという。クレブス氏は8月30日にmSpyに連絡を取り、最終的に最高セキュリティ責任者の「アンドリュー」氏からのメールを受け取ることができた。
「当社は、あらゆる漏洩、攻撃、個人情報漏洩からシステムを守るために、懸命に取り組んできました」と関係者は記した。「お客様のアカウントはすべて安全に暗号化されており、データは短期間で一度消去されています。おかげさまで、今回の侵害の可能性は回避できました。調査の結果、ご指摘のデータは、お客様のメールアドレスの一部と、おそらくその他のデータである可能性があります。ただし、データへのアクセスと操作は、ごく少数のポイントしか確認できませんでした。」
少なくともそのアクセス権の一部はシャーとクレブスに属していました。
mSpy サービスは 2015 年 5 月に大規模な侵害を受け、顧客データがダーク ウェブに投稿されました。ダーク ウェブとは、特別なツールや設定がなければアクセスできないインターネットの一部で、無害な場合もありますが、犯罪者に悪用されることもあります。
正当な iCloud ログインは、アカウントへの侵入に成功すると、App Store などからのダウンロードだけでなく、他の多くの個人情報やサービスへのアクセスが許可される可能性があるため、特に利益が大きい場合があります。
