يخلق عدد كبير من البرامج المختلفة التي تجمع كل شيء يمكن للمطورين الوصول إليه ، مشكلة حقيقية (من بين المشاكل الأخلاقية والقانونية الأخرى) لسلامة البيانات التي تم جمعها. في كثير من الأحيان ، تكمن البيانات ببساطة في الوضوح ، حيث يحرص مطورو برامج التجسس على جمعها بحيث لا يكون لديهم وقت للتفكير في تخزينهم الآمن.
على سبيل المثال ، تطبيق TeenSafe ، المصمم لتتبع أجهزة iPhone "للأطفال" ، وعناوين البريد الإلكتروني المخزنة وكلمات المرور النصية لمعرفات مستخدمي Apple في السحابة العامة في Amazon. استخدمت TeenSafe خادمي سحابة AWS (Amazon S3) لتخزين قاعدة بيانات مع عناوين البريد الإلكتروني للوالدين والأطفال (العناوين المرتبطة بمعرف Apple الخاص بالجهاز الذي تم تثبيت التطبيق عليه) ، وأسماء الأجهزة ومعرفاتها ، بالإضافة إلى كلمات مرور نصية لحساب Apple ID طفل. كان هناك 10200 إدخال في قاعدة البيانات. الشيء الأكثر حساسية في هذه المرحلة هو أن TeenSafe يتطلب تعطيل المصادقة ذات العاملين لمعرف Apple الخاص بالجهاز الذي سيتم استخدام التطبيق عليه.
Spyfone ، التي تبيع تطبيقات تتبع الهواتف استنادًا إلى iOS و Android ، تركت تيرابايت من البيانات ، بما في ذلك الرسائل القصيرة والتسجيلات الصوتية للمكالمات وجهات الاتصال والرسائل النصية على Facebook في المجال العام على خادم Amazon S3 (AWS) تم تكوينه بشكل غير صحيح. في وقت الاكتشاف ، كان هناك 3666 هاتفًا مراقبًا و 2208 عميلًا في قاعدة البيانات. بالإضافة إلى ذلك ، ترك Spyfone إحدى الوظائف غير المحمية في واجهة برمجة التطبيقات الخاصة به ، مما يسمح لأي شخص بعرض قائمة العملاء.
هناك مشكلة منفصلة هي أمن الخوادم حيث يتم تخزين بيانات هذه التطبيقات. على سبيل المثال ، اخترق مخترق غير معروف خادم TheTruthSpy ، الذي يطلق أيضًا تطبيقات لنظامي التشغيل iOS و Android لتتبع مالكي الهواتف الذكية. كان قادرًا على الوصول إلى تسجيلات الدخول وكلمات المرور والصور والمكالمات الصوتية والرسائل القصيرة وبيانات الموقع الجغرافي والدردشة والبيانات الأخرى التي تم اعتراضها على الهواتف مع تثبيت برنامج TheTruthSpy. في المجموع ، تأثر أكثر من 10 آلاف حسابات العملاء. يدعي مؤلف الاختراق أنه كان قادرًا على اختراق TheTruthSpy بعد فحص رمز تطبيق Android ، الذي كشف عن بعض نقاط الضعف. على وجه الخصوص ، أعاد خادم TheTruthSpy تسجيل الدخول وكلمة المرور للحساب في نص واضح ردًا على إرسال معرف العميل له.
تمكن متسلل آخر من الوصول إلى خادم Family Orbit على موقع Rackspace وتنزيل 281 غيغابايت من مواد الصور والفيديو التي تم جمعها بواسطة برامج التجسس. Family Orbit هو تطبيق آخر مصمم لمراقبة الهواتف الذكية "للأطفال". كما هو الحال مع TheTruthSpy ، تم اكتشاف خطأ في تطبيق Family Orbit مما سهل الوصول إلى الخادم. كان مفتاح الوصول إلى الخادم السحابي "سلكيًا" في التطبيق نفسه ، وإن كان في شكل مشفر.
حسنًا ، تاج التاريخ هو حالة موظف سابق في شركة NSO Group الإسرائيلية ، التي تنتج أدوات لاستخراج البيانات من الهواتف الذكية ، الذي حاول بيع رمز الشركة المسروق في السوق السوداء مقابل 50 مليون دولار. هنا ، بصفتي موظفًا في شركة تنتج أنظمة DLP ، كان علي أن أصرخ استخدم أنظمة DLP ، ولكن لا. لا شيء سيساعد هنا على الإطلاق. فقط عندما تثق في تطبيق ما بمعلومات حساسة ، خاصة حول الأطفال ، تذكر أنه يمكن تخزينه عمليًا "على الشرفة".