Une énorme quantité de logiciels divers qui recueille tout ce que les développeurs peuvent atteindre, crée un réel problème (entre autres problèmes éthiques et juridiques) de la sécurité des données collectées. Très souvent, les données reposent simplement sur le clair, car les développeurs de logiciels espions sont si désireux de les collecter qu'ils n'ont pas le temps de penser à leur stockage sécurisé.
Par exemple, l'application TeenSafe, conçue pour suivre les iPhones «enfants», les adresses e-mail stockées et les mots de passe texte des identifiants Apple dans le cloud public d'Amazon. TeenSafe a utilisé deux serveurs cloud AWS (Amazon S3) pour stocker une base de données avec les adresses e-mail des parents et des enfants (adresses associées à l'identifiant Apple de l'appareil sur lequel l'application est installée), les noms et identifiants des appareils, ainsi que les mots de passe texte du compte Apple ID un enfant. Il y avait 10 200 entrées dans la base de données. La chose la plus délicate à ce stade est que TeenSafe nécessite la désactivation de l'authentification à deux facteurs pour l'ID Apple de l'appareil sur lequel l'application sera utilisée.
Spyfone, qui vend des applications de suivi des téléphones basés sur iOS et Android, a laissé des téraoctets de données, y compris des SMS, des enregistrements audio d'appels, des contacts et des messages texte sur Facebook dans le domaine public sur un serveur Amazon S3 (AWS) mal configuré. Au moment de la découverte, il y avait 3666 téléphones surveillés et 2208 clients dans la base de données. De plus, Spyfone a laissé sans protection l'une des fonctions de son API, permettant à quiconque de consulter la liste des clients.
Un problème distinct est la sécurité des serveurs où sont stockées les données de ces applications. Par exemple, un pirate inconnu a piraté le serveur de TheTruthSpy, qui publie également des applications pour iOS et Android pour suivre les propriétaires de smartphones. Il a pu accéder aux identifiants, mots de passe, photos, appels audio, SMS, données de géolocalisation, chat et autres données interceptées sur les téléphones avec le logiciel TheTruthSpy installé. Au total, plus de 10 000 comptes clients ont été concernés. L'auteur du piratage prétend avoir pu pirater TheTruthSpy après avoir examiné le code de l'application Android, qui a révélé certaines vulnérabilités. En particulier, le serveur TheTruthSpy a renvoyé le nom d'utilisateur et le mot de passe du compte en texte clair en réponse à l'envoi de l'ID client.
Un autre pirate a pu accéder au serveur Family Orbit sur le site Rackspace et télécharger 281 gigaoctets de documents photo et vidéo collectés par des logiciels espions. Family Orbit est une autre application conçue pour surveiller les smartphones «pour enfants». Comme avec TheTruthSpy, une erreur a été détectée dans l'application Family Orbit qui facilitait l'accès au serveur. La clé d'accès au serveur cloud était «câblée» directement dans l'application elle-même, bien que sous forme cryptée.
Eh bien, la couronne de l'histoire est le cas d'un ancien employé de la société israélienne NSO Group, qui produit des outils d'extraction de données à partir de smartphones, qui a essayé de vendre le code d'entreprise volé sur le marché noir pour 50 millions de dollars. Ici, en tant qu'employé d'une entreprise qui produit des systèmes DLP, j'ai dû crier Utilisez des systèmes DLP, mais non. Rien n'aidera ici du tout. Juste au moment où vous faites confiance à une sorte d'application contenant des informations sensibles, en particulier sur les enfants, n'oubliez pas qu'elle peut les stocker pratiquement «sur le balcon».