Un hacker a compromis site-ul aplicației spyware pcTattletale, găsită pe sistemele de rezervare ale mai multor hoteluri Wyndham din Statele Unite, și a publicat peste o duzină de arhive care conțin baza de date și codul sursă.
Conform unui raport de la Vice din urmă cu trei ani, această aplicație stalkerware a fost descoperită scurgând capturi de ecran în timp real de pe telefoanele Android.
Descrisă de dezvoltatorii săi ca un „software de monitorizare pentru angajați și copii”, pcTattletale este o soluție de spyware de consum care scurgea detalii despre oaspeți și informații despre clienți capturate din sistemele de check-in ale hotelurilor din cauza unei vulnerabilități de securitate API, conform TechCrunch.
Cercetătorul în securitate Eric Daigle a găsit spyware-ul în sistemele hotelului și a publicat un articol pe blog explicând că vulnerabilitatea pe care a descoperit-o în API-ul pcTattletale poate fi utilizată pentru a accesa capturi de ecran pe care malware-ul le face pe alte dispozitive.
„Am descoperit recent o vulnerabilitate serioasă în API-ul PCTattletale care permite oricărui atacator să obțină cea mai recentă captură de ecran înregistrată de pe orice dispozitiv pe care este instalat PCTattletale. Este distinctă de IDOR-ul descoperit anterior de Jo Coscia și face trivială obținerea capturilor de pe alte dispozitive”, a spus Daigle.
„Din păcate, PCTattletale a ignorat încercările lui Zack și ale mele de a-i contacta pentru a rezolva problema, așa că nu pot oferi mai multe detalii pentru a evita încurajarea abuzului vulnerabilității. Sper că autorii stalkerware-ului vor fi deranjați să rezolve problema în curând, moment în care voi putea oferi o descriere completă.”
Într-un videoclip pe YouTube de acum șapte ani, dezvoltatorul pcTattletale, Bryan Fleming, o descrie ca pe un „software de spionaj” în timp ce prezenta prima versiune de testare pentru Android.
„Descarcă o versiune de încercare gratuită și pune-o pe PC-ul tău de acasă cu Windows și urmărește cum funcționează. Este destul de uimitor cum înregistrează apăsările de taste și poți vedea orice fac copiii tăi pe calculator sau angajații tăi”, spune Fleming în videoclip.
Deși el o descrie ca pe un software de spionaj, Microsoft urmărește pcTattletale ca pe o amenințare și spune că „urmărește ceea ce faci pe PC-ul tău, de obicei înregistrând apăsările de taste sau capturi de ecran” și „încearcă să fure informațiile tale sensibile și confidențiale.”
Încercările lui Daigle de a contacta dezvoltatorii pentru a remedia problema de securitate au eșuat, iar vulnerabilitatea permite încă accesul la informațiile sensibile aparținând utilizatorilor urmăriți folosind spyware-ul pcTattletale.
Deși cercetătorul în securitate a împărtășit doar o cantitate limitată de informații despre această defecțiune gravă, cineva a luat-o ca pe o provocare, compromițând site-ul spyware-ului și publicând 20 de arhive care conțin codul sursă și datele extrase din bazele de date ale pcTattletale.
Cu toate acestea, hackerul a afirmat pe site-ul acum compromis că nu a exploatat vulnerabilitatea descoperită de Daigle. În schimb, el susține că a folosit un exploit Python pentru a extrage acreditările AWS ale pcTattletale prin API-ul său bazat pe SOAP, ceea ce i-a oferit acces la codul sursă și bazele de date ale spyware-ului.
BleepingComputer a contactat pe Fleming pentru întrebări suplimentare, dar un răspuns nu a fost disponibil imediat.
Update 25/05/24: De la ultimul nostru raport, persoana care a compromis site-ul a distribuit un videoclip care pretinde a fi cu proprietarul site-ului încercând să-l restabilească prin FTP. Ironic, acest videoclip ar fi fost realizat prin software-ul pcTattleTale, instalat pe propriul dispozitiv al proprietarului.
Site-ul pcTattletale a fost acum luat offline, iar serviciul de notificare a încălcării datelor Have I Been Pwned a adăugat informațiile pentru cei afectați de această încălcare. Conform lui Troy Hunt de la HIBP, aproximativ 100GB de date au fost scurse, conținând informații despre dispozitive, parole hashate MD5 și mesaje SMS pentru 139.000 de adrese de email unice. Dintre aceste emailuri, aproximativ 58% erau deja în serviciul de notificare a încălcării datelor.
Hunt a declarat pentru BleepingComputer că serviciul său va notifica peste 1.000 de persoane abonate despre această încălcare.