mSpy, la compañía detrás de una aplicación móvil diseñada para ayudar a sus usuarios a espiar dispositivos Android o iPhone, ha filtrado millones de registros que contenían información confidencial como registros de mensajes de texto, contraseñas, contactos telefónicos, ubicación, todo recogido por su aplicación mientras secretamente funcionaba en el fondo. Más precisamente, el investigador de seguridad Nitish Shah ha descubierto que se podía acceder a las bases de datos internas de mSpy para todos los datos recopilados y las transacciones de los clientes sin ninguna autenticación.
Además, según Shah, la base de datos abierta de mSpy a la Web lo incluía todo, desde el nombre de usuario y las contraseñas hasta los mensajes de Whatsapp y Facebook. También proporcionó acceso a los registros en tiempo real, así como a las claves de cifrado privadas de cada cliente de mSpy que inició sesión o compró una licencia mSpy durante un período de seis meses.
“Estuve charlando con su equipo de soporte en vivo, hasta que me bloquearon cuando les pedí que me pusieran en contacto con su CTO o jefe de seguridad”, ha dicho Shah.
mSpy desconectó la base de datos después de cuatro días
Después de ver que mSpy ignoró sus alertas con respecto a su base de datos expuesta, Shah se puso en contacto con el experto en seguridad cibernética Brian Krebs, que confirmó sus hallazgos y escribió un informe completo sobre el incidente. Krebs también contactó a mSpy y, cuatro días después, la base de datos se desconectó y Andrew, el supuesto jefe de seguridad de la compañía, respondió a su alerta. En su respuesta, el representante de mSpy ha dicho lo siguiente:
“Gracias a usted hemos evitado esta posible violación y de lo que pudimos descubrir es que los datos de los que usted habla podrían ser una cantidad de correos electrónicos de los clientes y posiblemente otros datos. Sin embargo, solo pudimos encontrar que solo había unos pocos puntos de acceso y actividad con los datos”.
Es importante señalar que esta no es la primera vez que mSpy filtra los datos privados de sus clientes en línea porque la empresa también fue pirateada en mayo de 2015 y toda su base de datos apareció en la Dark Web.