Íntegra

Um hacktivista expôs mais de meio milhão de registros confidenciais mantidos por um fornecedor de aplicativos do tipo stalkerware, um software usado para vigiar pessoas na internet.

Entre as informações extraídas estão dados de pagamentos e endereços de e-mails de clientes que usavam os apps de uma empresa ucraniana chamada Struktura para ciberespionagem. Alguns dos aplicativos identificados foram o Geofinder e o uMobix, assim como o serviço Peekviewer, um app que supostamente permite o acesso a contas privadas no Instagram.

Também foram revelados registros de transações do Xnspy, um app usado para vigiar celulares que, em 2022, expôs dados privados de milhares de dispositivos Android e iPhones.

A exposição de dados sensíveis de aplicativos stalker vem a partir da exploração de falhas de segurança encontradas nessas plataformas. O preocupante é que esse cenário não é incomum: somente nos últimos anos ocorreram diversos casos de apps espiões sendo hackeados, resultando no vazamento de dados dos usuários e até das vítimas vigiadas.

A grande questão por trás desses aplicativos é que muitos operam na ilegalidade, coletando informações confidenciais de pessoas, como registros de chamadas, mensagens de texto, histórico de navegação e localização, que são compartilhados com o usuário que usa o app para vigiar alguém. O software também registra dados usados nas transações dentro do aplicativo, inclusive o valor pago e os últimos quatro dígitos do cartão.

De acordo com o hacktivista por trás da exposição, a coleta de dados foi possível por causa de um "bug trivial" no site do fornecedor. Uma vez que essas informações foram captadas, o hacker as divulgou em fóruns na dark web.