My Spy, ein Hersteller von Überwachungs-Apps, wurde offenbar gehackt. Jetzt stehen private Fotos und Chat-Logs von Personen online, auf deren Smartphones die Spionage-Software installiert war. Mehr als 400 000 Nutzer sollen betroffen sein.
Die Firma "My Spy" bietet Überwachungswerkzeuge für Android, iOS, Mac OS und Windows-Rechner an. Jetzt haben Unbekannte mehrere hundert GByte an persönlichen Daten online gestellt – angeblich von mehr als 400.000 Kunden des Unternehmens. Zu den erbeuteten Daten sollen Kennwörter, Bankdaten, private Fotos und Chat-Logs gehören. Betroffen sind also nicht nur die direkten Kunden von My Spy, sondern auch die mit der "mSpy" genannten Software überwachten Zielpersonen.
mSpy protokolliert besuchte Web-Adressen, SMS-Nachrichten, E-Mails und Kalendereinträge. Auch lassen sich Ziele per GPS orten. Die Premium-Version schlägt sogar automatisch Alarm, wenn das Gerät einen bestimmten Bewegungsradius verlässt. mSpy soll Kinder "behüten", Diebstähle verhindern und Angestellte "beaufsichtigen". Oft setzen aber auch eifersüchtige Partner auf derartige Software, um ihre besseren Hälften zu kontrollieren. Dazu passt, dass die Spionage-App verschiedene Chat-Kanäle mitschneidet. Eine eingeschränkte Variante der iOS-Version soll sogar ohne Jailbreak funktionieren. Wo My Spy seine Firmenzentrale hat, ist nicht genau herauszufinden. Der Hersteller führt Telefonnummern in Deutschland, Großbritannien und den USA an. mSpy speichert alle von den Zielgeräten aufgezeichneten Daten auf den Servern des Herstellers. Kunden greifen über ein umfassendes Web-Interface darauf zu.
Derzeit wird das Datenarchiv über eine Adresse im Tor-Netzwerk gehostet. Entpackt sollen die Daten über ein TByte groß sein. Eine Mitarbeiterin des Herstellers wollte den Hack gegenüber heise online nicht bestätigen: Die veröffentlichten Daten würden nicht von mSpy-Anwendern stammen; der Bericht des renommierten Security-Journalisten Brian Krebs sei "black marketing". Die Website von My Spy gibt bisher keinen Hinweis auf den Hack. Die Kunden von mSpy – und die von ihnen beobachteteten Zielpersonen – bleiben also erstmal im Dunkeln.