Sejumlah besar perangkat lunak berbeda yang mengumpulkan segala sesuatu yang dapat dijangkau pengembang, menciptakan masalah nyata (di antara masalah etika dan hukum lainnya) dari keamanan data yang dikumpulkan. Sangat sering, data hanya terletak pada yang jelas, karena pengembang spyware sangat tertarik untuk mengumpulkannya sehingga mereka tidak punya waktu untuk memikirkan penyimpanan yang aman.
Misalnya, aplikasi TeenSafe, yang dirancang untuk melacak iPhone โanak-anakโ, menyimpan alamat email dan kata sandi teks ID pengguna Apple di cloud publik Amazon. TeenSafe menggunakan dua server cloud AWS (Amazon S3) untuk menyimpan database dengan alamat email orang tua dan anak-anak (alamat yang terkait dengan ID Apple perangkat tempat aplikasi diinstal), nama perangkat dan pengidentifikasi, serta kata sandi teks untuk akun ID Apple seorang anak. Ada 10.200 entri dalam database. Yang paling rumit pada saat ini adalah bahwa TeenSafe memerlukan penonaktifan otentikasi dua faktor untuk ID Apple perangkat tempat aplikasi akan digunakan.
Spyfone, yang menjual aplikasi untuk melacak ponsel berbasis iOS dan Android, meninggalkan terabyte data, termasuk SMS, rekaman audio panggilan, kontak, dan pesan teks di Facebook di domain publik di server Amazon S3 (AWS) yang salah dikonfigurasi. Pada saat ditemukan, ada 3666 telepon yang dipantau dan 2208 klien dalam database. Selain itu, Spyfone meninggalkan salah satu fungsi yang tidak terlindungi di API-nya, memungkinkan siapa saja untuk melihat daftar klien.
Masalah terpisah adalah keamanan server tempat data aplikasi tersebut disimpan. Misalnya, seorang peretas yang tidak dikenal meretas server TheTruthSpy, yang juga merilis aplikasi untuk iOS dan Android untuk melacak pemilik ponsel cerdas. Dia dapat mengakses login, kata sandi, foto, panggilan audio, SMS, data geolokasi, obrolan dan data lain yang dicegat di ponsel dengan perangkat lunak TheTruthSpy diinstal. Secara total, lebih dari 10 ribu akun pelanggan terpengaruh. Penulis retas mengklaim bahwa ia dapat meretas TheTruthSpy setelah memeriksa kode aplikasi Android, yang mengungkapkan beberapa kerentanan. Secara khusus, server TheTruthSpy mengembalikan login dan kata sandi akun tersebut dalam bentuk teks sebagai tanggapan atas pengirimannya ID klien.
Peretas lain dapat mengakses server Family Orbit di situs Rackspace dan mengunduh 281 gigabytes materi foto dan video yang dikumpulkan oleh spyware. Family Orbit adalah aplikasi lain yang dirancang untuk memantau smartphone "anak-anak". Seperti halnya dengan TheTruthSpy, kesalahan terdeteksi pada aplikasi Family Orbit yang membuatnya mudah untuk mengakses server. Kunci akses server cloud adalah "kabel" tepat di aplikasi itu sendiri, meskipun dalam bentuk terenkripsi.
Nah, mahkota sejarah adalah kasus mantan karyawan perusahaan Israel NSO Group, yang memproduksi alat untuk mengekstraksi data dari telepon pintar, yang mencoba menjual kode perusahaan yang dicuri di pasar gelap seharga $ 50 juta. Di sini, sebagai karyawan sebuah perusahaan yang memproduksi sistem DLP, saya harus berteriak Gunakan sistem DLP, tetapi tidak. Tidak ada yang akan membantu di sini sama sekali. Hanya ketika Anda memercayai beberapa aplikasi dengan informasi sensitif, terutama tentang anak-anak, ingatlah bahwa ia dapat menyimpannya secara praktis "di balkon".