Operasi spyware tingkat konsumen bernama SpyX mengalami pelanggaran data tahun lalu, TechCrunch telah mempelajari. Pelanggaran tersebut mengungkapkan bahwa SpyX dan dua aplikasi seluler terkait lainnya memiliki catatan tentang hampir dua juta orang pada saat pelanggaran terjadi, termasuk ribuan pengguna Apple.
Pelanggaran data berasal dari bulan Juni 2024 tetapi sebelumnya tidak dilaporkan, dan tidak ada indikasi bahwa operator SpyX pernah memberi tahu pelanggan atau korban yang ditargetkan oleh spyware tersebut.
Keluarga spyware seluler SpyX sekarang, menurut hitungan kami, adalah operasi surveilans seluler ke-25 sejak 2017 yang diketahui mengalami pelanggaran data, atau sebaliknya bocor atau mengungkapkan data korban atau pengguna mereka, menunjukkan bahwa industri spyware tingkat konsumen terus berkembang dan menempatkan data pribadi orang-orang dalam risiko.
Pelanggaran ini juga memberikan pandangan langka tentang bagaimana stalkerware seperti SpyX juga dapat menargetkan pelanggan Apple.
Troy Hunt, yang menjalankan situs notifikasi pelanggaran data Have I Been Pwned, menerima salinan data yang dilanggar dalam bentuk dua file teks, yang berisi 1,97 juta catatan akun unik dengan alamat email yang terkait.
Hunt mengatakan sebagian besar alamat email terkait dengan SpyX. Cache juga mencakup kurang dari 300.000 alamat email terkait dengan dua klon hampir identik dari aplikasi SpyX yang disebut MSafely dan SpyPhone.
Sekitar 40% alamat email telah ada di Have I Been Pwned, kata Hunt.
Seperti halnya pelanggaran spyware sebelumnya, Hunt menandai pelanggaran data SpyX di Have I Been Pwned sebagai 'sensitif,' yang hanya memungkinkan orang dengan alamat email yang terpengaruh melihat apakah informasi mereka adalah bagian dari pelanggaran ini.
Operator di balik SpyX tidak merespons email dari TechCrunch dengan pertanyaan tentang pelanggaran tersebut, dan nomor WhatsApp yang terdaftar di situs web SpyX mengembalikan pesan mengatakan itu tidak terdaftar dengan aplikasi pesan tersebut.
Salah satu spyware, Pelanggaran lain
SpyX diiklankan sebagai perangkat lunak pemantauan seluler untuk perangkat Android dan Apple, seakan-akan untuk memberikan kontrol orang tua atas ponsel anak.
Malware surveilans, seperti SpyX, juga dikenal dengan istilah stalkerware (dan spouseware) karena terkadang operator secara eksplisit mempromosikan produk mereka sebagai cara untuk memata-matai pasangan atau mitra domestik, yang secara luas ilegal tanpa pengetahuan orang tersebut. Bahkan ketika operator tidak secara eksplisit mempromosikan penggunaan ilegal ini, aplikasi spyware mempunyai banyak kemampuan pencurian data yang sama yang bersembunyi.
Spyware tingkat konsumen, seperti stalkerware, biasanya berfungsi dengan dua cara.
Aplikasi yang bekerja pada perangkat Android, termasuk SpyX, biasanya diunduh dari luar toko aplikasi resmi Google Play dan memerlukan seseorang dengan akses fisik ke perangkat korban - biasanya dengan pengetahuan kode akses mereka - untuk melemahkan pengaturan keamanannya dan menanamkan spyware.
Apple memiliki aturan yang lebih ketat tentang aplikasi mana yang dapat berada di App Store dan berjalan di iPhone dan iPad, sehingga stalkerware biasanya menggunakan salinan cadangan perangkat yang ditemukan di layanan penyimpanan awan Apple, iCloud. Dengan kredensial iCloud seseorang, stalkerware dapat terus-menerus mengunduh cadangan terbaru korban langsung dari server Apple. Cadangan iCloud menyimpan sebagian besar data perangkat seseorang, termasuk pesan, foto, dan data aplikasi.
Menurut Hunt, salah satu dari dua file dalam cache yang dilanggar merujuk pada iCloud dalam nama file-nya dan berisi sekitar 17.000 set username dan password Akun Apple dalam plaintext yang berbeda.
Karena kredensial iCloud dalam cache yang dilanggar jelas milik pelanggan Apple, Hunt mencoba mengonfirmasi keaslian data dengan menghubungi pelanggan Have I Been Pwned yang alamat email dan password Akun Apple mereka ditemukan dalam data. Hunt mengatakan beberapa orang mengonfirmasi bahwa informasi yang dia berikan akurat.
Mengingat kemungkinan risiko berkelanjutan bagi korban yang mungkin kredensial akun mereka masih valid, Hunt memberikan daftar kredensial iCloud yang dilanggar kepada Apple sebelum publikasi. Apple tidak memberikan komentar ketika dihubungi oleh TechCrunch.
Adapun sisa alamat email dan password yang ditemukan dalam file teks yang dilanggar, lebih tidak jelas apakah ini adalah kredensial kerja untuk layanan lain selain SpyX dan aplikasi klon-nya.
Sementara itu, Google menarik ekstensi Chrome yang terkait dengan kampanye SpyX.
"Kebijakan Chrome Web Store dan Google Play Store dengan tegas melarang kode berbahaya, spyware dan stalkerware, dan jika kami menemukan pelanggaran, kami akan mengambil tindakan yang tepat. Jika seorang pengguna mencurigai bahwa Akun Google mereka telah dikompromi, mereka harus mengambil langkah-langkah yang direkomendasikan segera untuk mengamankannya," kata juru bicara Google Ed Fernandez kepada TechCrunch.
Cara Mencari SpyX
TechCrunch memiliki panduan penghapusan spyware untuk pengguna Android yang dapat membantu Anda mengidentifikasi dan menghapus jenis aplikasi pemantauan ponsel yang umum. Ingatlah untuk memiliki rencana keamanan yang siap, mengingat bahwa mematikan aplikasi dapat memberi tahu orang yang memasangnya.
Bagi pengguna Android, mengaktifkan Google Play Protect adalah fitur keamanan yang berguna yang dapat membantu melindungi dari malware Android, termasuk aplikasi pemantauan ponsel yang tidak diinginkan. Anda dapat mengaktifkan Google Play dari pengaturan aplikasi jika belum diaktifkan.
Akun Google jauh lebih dilindungi dengan autentikasi dua faktor, yang dapat lebih melindungi dari intrusi akun dan data, dan ketahui langkah-langkah yang harus diambil jika akun Google Anda dicompromatkan.
Pengguna iPhone dan iPad dapat memeriksa dan menghapus perangkat apa pun dari akun Anda yang tidak Anda kenali. Anda harus memastikan bahwa akun Apple Anda menggunakan kata sandi panjang dan unik (idealnya disimpan di pengelola kata sandi) dan bahwa akun Anda juga memiliki autentikasi dua faktor diaktifkan. Anda juga harus mengubah kode akses iPhone atau iPad Anda jika Anda pikir seseorang mungkin telah secara fisik mengompromikan perangkat Anda.
Jika Anda atau seseorang yang Anda kenal memerlukan bantuan, National Domestic Violence Hotline (1-800-799-7233) memberikan dukungan gratis dan rahasia 24/7 kepada korban pelecehan dan kekerasan domestik. Jika Anda berada dalam situasi darurat, hubungi 911. The Coalition Against Stalkerware memiliki sumber daya jika Anda mengira ponsel Anda telah dikompromi oleh spyware.
