Сайт коммерческого шпионского ПО pcTattletale подвергся взлому, в результате чего внутренние данные компании оказались в открытом доступе. Незадолго до этого инцидента ИБ-исследователь Эрик Дейгл выявил уязвимость в API pcTattletale, которая позволяла получить доступ к данным о гостях и пользователях систем регистрации отелей сети Wyndham.
PcTattletale – это приложение для удаленного доступа, относящееся к категории так называемого сталкерского ПО, поскольку оно может использоваться для слежки за людьми без их ведома или согласия. Установив приложение, человек может удаленно наблюдать за устройствами на базе Android и Windows из любой точки мира. Разработчики pcTattletale заявляют, что их продукт работает незаметно в фоновом режиме и не может быть обнаружен. Однако Microsoft классифицирует pcTattletale как угрозу, предупреждая, что программа следит за действиями пользователя на компьютере, перехватывая нажатия клавиш и делая скриншоты, а также пытается похитить важную и конфиденциальную информацию.
На прошлой неделе Эрик Дейгл сообщил об обнаруженной им уязвимости в шпионском приложении, через которую происходила утечка скриншотов с устройств, на которых установлен pcTattletale. Изначально эксперт не раскрывал детали проблемы, так как разработчики приложения проигнорировали его попытки связаться с ними, и уязвимость оставалась неустраненной. В настоящее время информация об уязвимости полностью раскрыта.
Примечательно, что, согласно информации издания TechCrunch, приложение pcTattletale было обнаружено в системах регистрации трех отелей сети Wyndham. Спайварь тайно делала скриншоты систем отелей, на которых были видны личные сведения о гостях и информация о клиентах, включая частичные номера платежных карт. Дейгл отмечал, что из-за уязвимости в API спайвари эти скриншоты были доступны всем желающим, а не только предполагаемым операторам pcTattletale.
До сих пор остается неизвестным, кто установил приложение на компьютеры отелей. Возможно, злоумышленники обманным путем заставили сотрудников установить pcTattletale, но также не исключено, что руководство отелей использовало шпионское ПО для наблюдения за работой своих сотрудников. Представители Wyndham отказались комментировать ситуацию.
Вскоре после публикации предупреждения Дейгла и статьи TechCrunch сайт pcTattletale был взломан и дефейснут. Хакер разместил на сайте спайвари сообщение, заявив о компрометации серверов разработки. Он также опубликовал ссылки на 20 архивов с исходными кодами и базами данных pcTattletale, в которых, по-видимому, содержались украденные данные людей, за которыми велось наблюдение с помощью приложения.
Взломщик сообщил, что не использовал уязвимость, обнаруженную Дейглом, а воспользовался багом в API, позволявшим вынудить серверы pcTattletale предоставить приватные ключи от учетной записи Amazon Web Services, что давало доступ к операциям спайвари.
Позднее хакер опубликовал видео, на котором якобы владелец сайта pcTattletale пытается восстановить его через FTP. Взломщик с иронией отметил, что это видео снято с помощью самой спайвари pcTattleTale, установленной на устройстве владельца.
В настоящий момент сайт pcTattletale недоступен, а агрегатор утечек Have I Been Pwned (HIBP) уже опубликовал предупреждение для пострадавших от этого инцидента. По словам основателя и владельца HIBP Троя Ханта, в общей сложности произошла утечка около 100 ГБ данных, содержащих информацию об устройствах, пароли с хэшем MD5, SMS-сообщения и около 139 000 уникальных email-адресов.