Una gran cantidad de software que recopila todo lo que los desarrolladores pueden alcanzar, crea un problema real (entre otros problemas éticos y legales) de la seguridad de los datos recopilados. Muy a menudo, los datos simplemente están claros, ya que los desarrolladores de spyware están tan interesados en recopilarlos que no tienen tiempo para pensar en su almacenamiento seguro.
Por ejemplo, la aplicación TeenSafe, diseñada para rastrear iPhones "para niños", almacenó direcciones de correo electrónico y contraseñas de texto de ID de usuarios de Apple en la nube pública de Amazon. TeenSafe utilizó dos servidores en la nube de AWS (Amazon S3) para almacenar una base de datos con las direcciones de correo electrónico de padres e hijos (direcciones asociadas con la ID de Apple del dispositivo en el que está instalada la aplicación), nombres e identificadores del dispositivo, así como contraseñas de texto para la cuenta de ID de Apple un niño Había 10.200 entradas en la base de datos. Lo más delicado en este momento es que TeenSafe requiere deshabilitar la autenticación de dos factores para la ID de Apple del dispositivo en el que se utilizará la aplicación.
Spyfone, que vende aplicaciones para rastrear teléfonos basados en iOS y Android, dejó terabytes de datos, incluidos SMS, grabaciones de audio de llamadas, contactos y mensajes de texto en Facebook en el dominio público en un servidor Amazon S3 (AWS) configurado incorrectamente. En el momento del descubrimiento, había 3666 teléfonos monitoreados y 2208 clientes en la base de datos. Además, Spyfone dejó desprotegida una de las funciones en su API, lo que permite a cualquiera ver la lista de clientes.
Otro problema es la seguridad de los servidores donde se almacenan los datos de dichas aplicaciones. Por ejemplo, un hacker desconocido hackeó el servidor de TheTruthSpy, que también lanza aplicaciones para iOS y Android para rastrear a los propietarios de teléfonos inteligentes. Pudo acceder a inicios de sesión, contraseñas, fotos, llamadas de audio, SMS, datos de geolocalización, chat y otros datos interceptados en teléfonos con el software TheTruthSpy instalado. En total, más de 10 mil cuentas de clientes se vieron afectadas. El autor del hack afirma que pudo hackear TheTruthSpy después de examinar el código de la aplicación de Android, que reveló algunas vulnerabilidades. En particular, el servidor TheTruthSpy devolvió el nombre de usuario y la contraseña de la cuenta en texto claro en respuesta a enviarle la identificación del cliente.
Otro hacker pudo acceder al servidor Family Orbit en el sitio Rackspace y descargar 281 gigabytes de material fotográfico y de video recolectado por spyware. Family Orbit es otra aplicación diseñada para monitorear teléfonos inteligentes "para niños". Al igual que con TheTruthSpy, se detectó un error en la aplicación Family Orbit que facilitó el acceso al servidor. La clave de acceso al servidor de la nube se "conectó" directamente en la aplicación, aunque en forma cifrada.
Bueno, la corona de la historia es el caso de un ex empleado de la compañía israelí NSO Group, que produce herramientas para extraer datos de teléfonos inteligentes, que intentó vender el código de la compañía robado en el mercado negro por $ 50 millones. Aquí, como empleado de una compañía que produce sistemas DLP, tuve que gritar Utilice sistemas DLP, pero no. Nada ayudará aquí en absoluto. Justo cuando confía en algún tipo de aplicación con información confidencial, especialmente sobre niños, recuerde que puede almacenarla prácticamente "en el balcón".