- ハクティビスト「wikkid」がStrukturaのウェブサイトのバグを悪用し、顧客記録53万6,000件を盗み出した
- データには氏名、メールアドレス、購入情報、支払い日を除くクレジットカード情報の一部が含まれていた
- 流出によりGeofinder、uMobix、Peekviewerなどの消費者向けスパイウェア業者が露呈し、ハッキングフォーラムに投稿された
消費者向けストーカーウェア開発企業がハクティビストの攻撃を受け、50万人超の氏名、メールアドレス、クレジットカード情報の一部が流出した。
今月初め、別名「wikkid」を名乗るハッカーが、Strukturaという企業のウェブサイトを標的にした。同社はウクライナのソフトウェア企業で、Geofinder、uMobix、Peekviewerなど複数の電話追跡サービスの背後にあるとされている。TechCrunchに対し、Strukturaのウェブサイトに「些細な」バグを発見し、それによってベンダーからデータをスクレイピングできたと述べた。
合計で、ハクティビストは顧客のメールアドレス、購入したアプリまたはブランド、支払額、使用した決済カード(VisaまたはMastercard)、カード番号の下4桁を含む53万6,000行を取得した。支払い日付はアーカイブ内に見つからなかった。
スパイウェア業者を標的にする「楽しさ」
同媒体は、公開メールアドレスに紐づくアカウントでパスワードリセットを実行したこと、さらに各取引の固有の請求書番号を監視ベンダーの決済ページと照合したことにより、データの真正性を確認できたという。「決済ページでは、パスワードがなくてもサーバーから同じ顧客データと取引データを取得できたため、これが可能だった」と同媒体は説明している。
Wikkidは「人をスパイするために使われるアプリを標的にするのは楽しかった」と述べ、アーカイブを人気のハッキングフォーラムに投稿したという。そこで彼らはベンダーをErsten Groupとして掲載しており、同社は英国のソフトウェア開発スタートアップだと説明されている。
現時点で、Strukturaの関係者はこの事件について公式な声明を出していない。
消費者向けのスパイウェア(配偶者監視アプリ、spousewareとも呼ばれる)とは、ユーザーが購入し、配偶者やパートナー、子ども、その他関心のある人物のモバイル端末に密かにインストールできるソフトウェア(主にモバイルアプリ)である。
開発者はしばしば、子どもや特別な支援を必要とする人の見守りを目的としたセキュリティアプリとして宣伝する。しかし、これらはほとんどの場合、限りなく合法すれすれのスパイ行為を覆い隠す口実にすぎない。
