mSpy: Datenleck entlarvt erneut Millionen von Stalkerware-Kunden​

Ein Datenleck rund um die Überwachungs-App mSpy hat Millionen Kunden enttarnt, die Dritte damit beschatteten. Darunter sind US-Militärs, Richter und Sheriffs.​

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
MySpy
Lesezeit: 3 Min.

Der Anbieter der Überwachungs-App mSpy hat zum wiederholten Male mit einem massiven Datenabfluss zu kämpfen. Das mehrere hundert Gigabyte umfassende Leck enttarne mehrere Millionen von Nutzern etwa aus Europa, Indien, Japan sowie Nord und Südamerika, die während der vergangenen zehn Jahr einen Zugang zu der kommerziell verfügbaren Spyware erworben hätten, meldet TechCrunch. Das Onlinemagazin hat nach eigenen Angaben die von "unbekannten Angreifern" erbeuteten sensiblen Informationen "unabhängig" von den Cyberkriminellen eingesehen. Die Bande soll demnach im Mai 2024 Millionen von Kundensupport-Tickets von mSpy gestohlen haben. Darunter seien Namen, E-Mails an den Support und Anhänge inklusive persönlicher Dokumente etwa zur Identifikation gewesen. Damit wird deutlich, wer Dritte mithilfe der Anwendung beschatten wollte.

mSpy protokolliert unter anderem besuchte Webseiten, SMS, E-Mails und Kalendereinträge. Zielpersonen lassen sich per GPS orten. Die Premium-Version schlägt sogar automatisch Alarm, wenn das ausgespähte Gerät einen bestimmten Bewegungsradius verlässt.

Lange war unklar, wer hinter der App steckt. Dem Bericht zufolge ist anhand der kompromittierten Daten nun klar, dass es sich bei dem Betreiber und Eigentümer um die ukrainische Firma Brainstack handelt. Diese bewirbt mSpy auf einer deutschen Vermarktungsseite "als beste Mobiltelefonverfolgung für die Kindersicherung". Kunden erlangten für eine geringe Abogebühr ihren "Seelenfrieden" wieder und bräuchten nachts nicht mehr wach liegen. Solche Apps gelten aber vor allem als Stalkerware, da gerade eifersüchtige Partner sie verwenden, um ihre bessere Hälfte ohne Zustimmung zu überwachen.

Das Datenleck umfasst laut TechCrunch Aufzeichnungen die aus dem Zendesk-gestützten Kunden-Supportsystem des Spyware-Herstellers stammen und bis 2014 zurückreichen. Einige dieser E-Mails und Nachrichten enthielten Anfragen von mehreren hochrangigen Angehörigen des US-Militärs, einem amtierenden Richter eines US-Bundesberufungsgerichts, einer Aufsichtsbehörde eines US-Ministeriums und dem Büro des Sheriffs eines Bezirks in Arkansas. Teils sei es dabei um Anfragen für eine kostenlose Lizenz zum Testen der App gegangen. Die Gesamtzahl der mSpy-Nutzer dürfte deutlich höher liegen, da sich nicht alle an den Kundendienst wendeten. Potenziell Betroffene können über die Plattform Have I Been Pwned abfragen, ob Ihre E-Mail-Adresse Teil der Datenschutzverletzung ist.

Schon 2015 teilten Unbekannte im Dark Web mehrere hundert Gigabyte an persönlichen Daten von mSpy-Kunden sowie ihrer Opfer). 2018 gab es einen weiteren Bericht, dass Millionen vertraulicher Daten aus dem Überwachungsdienst online geleakt worden seien, darunter Passwörter, Anrufprotokolle, Textnachrichten, Kontakte, Notizen und Standortdaten. Es ist unklar, inwieweit es sich bei der neuen Panne um Informationen jüngeren Datums handelt beziehungsweise wie groß deren Anteil ist.

(mil)