A TheTruthSpy, uma empresa que comercializa mundialmente um aplicativo para dispositivos Android e iOS derecionado a usuários domésticos e divulga seus produtos destacando a possibilidade de espionar dispositivos, foi vítima de um ataque que roubou informações de acesso dos usuários, gravações de áudio das vítimas, fotos e mensagens, entre outros dados.
A notícia foi publicada pelo site Motherboard/VICE Media como parte de uma série de artigos de jornalismo investigativo chamado “When Spies Come Home”, que revela casos reais em que os indivíduos usam ferramentas para espionar os dispositivos de seus entes queridos.
Essa empresa é uma das mais conhecidas na comercialização de spyware para usuários domésticos em todo o mundo. No site da companhia o produto é divulgado como uma ferramenta de controle parental e também para pessoas que querem seguir os passos de seus parceiros ou empregadores que desejam monitorar o que os empregados fazem.
O que o aplicativo permite? O app oferece a capacidade de monitorar em tempo real a localização da vítima através de GPS, controlar o dispositivo remotamente, manter o controle de chamadas e mensagens de texto, e visualizar arquivos multimídia no dispositivo afetado. Além disso, o aplicativo também fornece acesso às senhas das contas usadas pela pessoa assediada, permitindo que o espião possa acessar as redes sociais e os e-mails da vítima.
O fato é que o app foi atacado e o invasor, que falou com o Motherboard e cujas iniciais são L.M., comentou que em fevereiro deste ano conseguiu entrar no servidor da empresa e acessou mais de 10.000 nomes de usuários de clientes de diferentes partes do mundo, bem como senhas, fotos e gravações de áudio do dispositivo das pessoas que estavam sendo espionadas, informações sobre o local, mensagens de texto, entre outros dados. No entanto, L.M. garantiu que recentemente parou de ter acesso às informações depois que o TheTruthSpy realizou uma atualização em seus servidores.
O atacante, quem disse ter conseguido acesso ao servidor depois de realizar engenharia reversa no aplicativo Android e descobrir uma vulnerabilidade, foi crítico com a empresa desenvolvedora do aplicativo ao dizer que "eles se preocupam em como promover um produto para espionar, mas não se preocupam em como proteger a privacidade dos invasores e das vítimas".
Depois que o invasor compartilhou uma amostra dos nomes de usuários e senhas, o Motherboard conseguiu comprovar, ao tentar acessar os endereços e confirmar que eles eram de usuários existentes, que o vazamento de informações realmente ocorreu.
O caso dessa empresa que comercializa soluções de espionagem pode ser somado a uma longa lista de companhias que oferecem serviços do tipo spyware e que foram vítimas de um ataque que, na maioria dos casos, deixou exposta uma grande quantidade de informações pessoais das vítimas, segundo foi publicado pelo jornalista do Motherboard, Lorenzo Franceschi-Bicchierai.
Por outro lado, o atacante disse ao jornalista que um grande número de consumidores do serviço reutilizavam a mesma senha em outros serviços como e-mails, PayPal ou Amazon. Ele assegurou que, embora tenha tido acesso às contas, não roubou nenhum dinheiro.
L.M. também comentou ao Motherboard que qualquer black hat hacker pode atacar esse tipo de ferramenta, acessar esse tipo de informação e transformar a vida das vítimas e dos usuários em um inferno.
Indústria que comercializa aplicativos para espionar
Embora a interceptação das comunicações seja algo ilegal na grande maioria dos países do mundo, esses aplicativos são facilmente acessíveis aos usuários. Basta digitar em um buscador web "aplicativos para espionar outro celular" para encontrar uma variedade de soluções desse tipo, como FlexiSPY, Spyzie, mSpy, entre muitas outras.
Em países como os Estados Unidos, por exemplo, não é ilegal usar esses aplicativos como uma ferramenta para o controle dos pais ou pelos empregadores, embora seja usado por adultos que querem espionar o dispositivo de outro adulto. Diferente é o que acontece na Espanha, onde o uso desse tipo de app para espionar crianças é ilegal e seu uso em outro dispositivo, sem o consentimento do usuário, pode ser punido com um a quatro anos de prisão. Antes, a responsabilidade do delito recaía sobre a figura do usuário que instalou esse aplicativo no dispositivo de um adulto, mas a partir de uma reforma do código penal as empresas que fornecem essa tecnologia também podem ser punidas pela lei, conforme destacou um artigo publicado em La Vanguarda. O problema está na falta de controles para o uso desses aplicativos.
Segundo dados publicados pela imprensa norte-americana NPR em 2014, após investigar abrigos que recebiam mulheres e crianças vítimas de assédio, 85% das vítimas foram monitoradas permanentemente por seus assediadores através de GPS, e em 75% dos casos os assediadores espionavam remotamente as conversas das vítimas usando apps de espionagem.
É importante que os pais, preocupados com o uso da tecnologia por seus filhos, saibam que "a chave não está no controle que é implementado, mas no diálogo com seus filhos e em acompanhá-los no caminho digital", destacou a pesquisadora de segurança do Laboratório da ESET, Cecilia Pastorino. "Trata-se de ensiná-los, através do diálogo e com o apoio de ferramentas digitais, quais são os perigos e riscos na Internet, quais são suas responsabilidades, o que deve e não deve ser feito e quais são as formas de se proteger", destacou.
