Um grande número de softwares diferentes que coleta tudo o que os desenvolvedores podem alcançar cria um problema real (entre outros problemas éticos e legais) da segurança dos dados coletados. Muitas vezes, os dados simplesmente ficam claros, pois os desenvolvedores de spyware estão tão interessados em coletá-los que não têm tempo para pensar em seu armazenamento seguro.
Por exemplo, o aplicativo TeenSafe, projetado para rastrear iPhones “infantis”, endereços de email armazenados e senhas de texto de IDs de usuário da Apple na nuvem pública da Amazon. O TeenSafe usou dois servidores em nuvem da AWS (Amazon S3) para armazenar um banco de dados com os endereços de email de pais e filhos (endereços associados ao Apple ID do dispositivo no qual o aplicativo está instalado), nomes e identificadores de dispositivo, além de senhas de texto para a conta do Apple ID uma criança Havia 10.200 entradas no banco de dados. A coisa mais delicada nesse momento é que o TeenSafe exige a desativação da autenticação de dois fatores para o ID Apple do dispositivo no qual o aplicativo será usado.
O Spyfone, que vende aplicativos para rastrear telefones baseados em iOS e Android, deixou terabytes de dados, incluindo SMS, gravações de chamadas, contatos e mensagens de texto no Facebook em domínio público em um servidor Amazon S3 (AWS) configurado incorretamente. No momento da descoberta, havia 3666 telefones monitorados e 2208 clientes no banco de dados. Além disso, o Spyfone deixou desprotegida uma das funções em sua API, permitindo que qualquer pessoa visse a lista de clientes.
Um problema separado é a segurança dos servidores em que os dados desses aplicativos são armazenados. Por exemplo, um hacker desconhecido invadiu o servidor do TheTruthSpy, que também libera aplicativos para iOS e Android para rastrear proprietários de smartphones. Ele conseguiu acessar logins, senhas, fotos, chamadas de áudio, SMS, dados de geolocalização, bate-papo e outros dados interceptados em telefones com o software TheTruthSpy instalado. No total, mais de 10 mil contas de clientes foram afetadas. O autor do hack afirma que ele foi capaz de hackear o TheTruthSpy depois de examinar o código do aplicativo Android, que revelou algumas vulnerabilidades. Em particular, o servidor TheTruthSpy retornou o logon e a senha da conta em texto não criptografado em resposta ao envio do ID do cliente.
Outro hacker conseguiu acessar o servidor Family Orbit no site da Rackspace e baixar 281 gigabytes de materiais de foto e vídeo coletados por spyware. O Family Orbit é outro aplicativo desenvolvido para monitorar smartphones "infantis". Como no TheTruthSpy, um erro foi detectado no aplicativo Family Orbit que facilitou o acesso ao servidor. A chave de acesso do servidor em nuvem foi "conectada" diretamente no próprio aplicativo, embora de forma criptografada.
Bem, a coroa da história é o caso de um ex-funcionário da empresa israelense NSO Group, que produz ferramentas para extrair dados de smartphones, que tentaram vender a empresa roubada no mercado negro por US $ 50 milhões.Aqui, como funcionário de uma empresa que produz sistemas DLP, tive que gritar Use sistemas DLP, mas não. Nada vai ajudar aqui. Apenas quando você confia em algum tipo de aplicativo com informações confidenciais, especialmente sobre crianças, lembre-se de que ele pode armazená-lo praticamente “na varanda”.