A TheTruthSpy, empresa que comercializa mundialmente uma aplicação para dispositivos Android e iOS, destinada a utilizadores domésticos, cuja principal função e argumento de venda é a possibilidade de espiar outros dispositivos, foi vítima de um ataque que resultou no roubo de informações de acesso dos utilizadores, gravações de áudio, fotos e mensagens, entre outros dados.
A notícia foi avançada pelo portal Motherboard/VICE Media como parte de uma série de artigos de jornalismo de investigação chamada “When Spies Como Home”, que revela casos reais em que os indivíduos usam poderosas ferramentas de vigilância para espiar os dispositivos das pessoas mais próximas de si.
A TheTruthSpy é uma das mais reconhecidas empresas de venda de spyware para utilizadores domésticos em todo o mundo. No site da empresa, o produto é divulgado como sendo uma ferramenta de controlo parental, mas também uma aplicação indicada para pessoas que procurem seguir os passos dos seus parceiros, ou para empregadores que desejem espiar os seus funcionários.
A app oferece a capacidade de monitorizar em tempo real a localização da vítima através de GPS, controlar o dispositivo remotamente, manter o controlo de chamadas e mensagens de texto, e visualizar ficheiros multimédia no dispositivo afetado. Além disso, a aplicação também fornece acesso às palavras-passe das contas usadas pela pessoa assediada, permitindo que o espião possa aceder às redes sociais e aos emails da vítima.
A Motherboard conversou com o alegado responsável pelo ataque aos servidores da TheTruthSpy (um hacker que se identificou apenas com as siglas L.M.), que comentou que em fevereiro deste ano conseguiu aceder a mais de 10 mil nomes de utilizadores de clientes de diferentes partes do mundo, bem como a palavras-passe, fotos e gravações de áudio nos dispositivos das pessoas afetadas, informação sobre o local, mensagens de texto, entre outros dados. L.M. garantiu, no entanto, que deixou recentemente de ter acesso à informação depois do TheTruthSpy efetuar uma atualização aos seus servidores.
“Eles preocupam-se em como espiar, mas não se interessam com a privacidade dos atacantes e das vítimas,” comentou a propósito o hacker, que ganhou acesso ao servidor da empresa após ter descoberto uma vulnerabilidade num processo de engenharia reversa na aplicação para Android.
Depois do hacker partilhar uma amostra dos nomes de utilizadores e palavras-passe, a Motherboard conseguiu provar, confirmando tratar-se de utilizadores reais, que o roubo de informação realmente ocorreu.
O caso desta empresa vendedora de soluções de espionagem é apenas mais um numa longa lista de companhias que oferecem serviços semelhantes e foram vítimas de um ataque que, na maioria dos casos, deixou exposta uma grande quantidade de informações pessoais das vítimas, de acordo com publicação do jornalista da Motherboard, Lorenzo Franceschi-Bicchierai.
O hacker comentou ainda que um grande número de utilizadores do serviço reutiliza a mesma palavra-passe noutros serviços como emails, PayPal ou Amazon. Ele assegurou que, embora tenha tido acesso às contas, não roubou dinheiro.
L.M. afirmou também que qualquer hacker “black hat” (termo que descreve um hacker que explora as vulnerabilidades dos sistemas informáticos por simples malícia ou ganho pessoal) pode atacar este tipo de aplicação, aceder à informação e transformar a vida das vítimas e dos utilizadores num verdadeiro inferno.
Embora a interceção das comunicações seja um ato ilegal na grande maioria dos países do mundo, aplicações como a da TheTruthSpy são facilmente alcançáveis pelos utilizadores. Basta escrever num motor de busca “aplicações para espiar outro smartphone” para encontrar uma variedade de soluções desse tipo, como FlexiSPY, Spyzie, mSpy, entre muitas outras.
Segundo dados publicados pela imprensa norte-americana NPR (via WeLiveSecurity), em 2014, após investigar abrigos que recebiam mulheres e crianças vítimas de assédio, 85% das vítimas foram monitorizadas permanentemente pelos seus abusadores através de GPS, e em 75% dos casos os abusadores espiavam remotamente as conversas das vítimas usando apps de espionagem.
É importante que os pais, preocupados com o uso da tecnologia pelos seus filhos, saibam que “a chave não está no controlo que é implementado, mas no diálogo com seus filhos e em acompanhá-los no caminho digital”, destacou a investigadora de segurança do Laboratório da ESET, Cecilia Pastorino. “Trata-se de ensinar-lhes, através do diálogo e com o apoio de ferramentas digitais, quais são os perigos e riscos na Internet, quais são suas responsabilidades, o que deve e não deve ser feito e quais são as formas de se protegerem”, destacou.
