如今,有一个专门的灰色产业,专门监控和窥探家庭成员。多个应用程序开发者推销他们的软件——有时被称为跟踪软件——给嫉妒的伴侣,这些伴侣可以使用这些软件远程访问受害者的手机。
尽管这些敏感数据非常重要,但越来越多的公司却丢失了大量此类数据。根据TechCrunch的统计,从2017年以来,至少有23家跟踪软件公司因被黑客攻击或泄露客户和受害者的数据而受到曝光。这可不是笔误:至少有23家跟踪软件公司在过去几年中遭受了重大数据泄露。其中四家公司甚至被多次攻击。
Cocospy和Spyic是2025年首次意外暴露敏感数据的跟踪软件公司。这两家监视操作将消息、照片、通话记录和其他个人和敏感数据暴露在网上,一位安全研究员发现了一个漏洞,允许他们访问这些数据。
在Cocospy的情况下,该公司泄露了181万客户的电子邮件地址,而Spyic则泄露了88万167名客户的电子邮件地址。根据Troy Hunt的分析(他运营着数据泄露通知网站Have I Been Pwned),在去除重复地址后,总共泄露了265万电子邮件地址。
2024年至少发生了四次大规模的跟踪软件攻击事件。最近一次发生在2024年的监视软件泄露事件影响了明尼苏达州的一家名为Spytech的小型监视软件制造商,该公司暴露了通过其监视软件监控的手机、平板电脑和计算机活动日志。在此之前,mSpy遭受了一次重大攻击,mSpy是一款长期运行的监视软件之一,它暴露了数百万包含其客户个人数据的支持票证。
此前,一名未知黑客侵入了一家位于美国的监视软件制造商pcTattletale的服务器,并窃取并泄露了其内部数据。黑客还篡改了pcTattletale官方网站以羞辱该公司,并提到TechCrunch的一篇文章中报道pcTattletale被用于监控美国连锁酒店前台登记计算机的情况。
由于这次攻击、泄露和羞辱行动,pcTattletale创始人Bryan Fleming宣布关闭公司。
像mSpy和pcTattletale这样的消费者监视应用程序通常被称为“跟踪软件”(或配偶监控),因为嫉妒的配偶和伴侣使用它们秘密监控他们的爱人。这些公司经常明确地将产品定位为捕捉出轨伴侣的方法,并鼓励非法和不道德的行为。多项法庭案件、新闻调查和家庭暴力庇护所的研究表明,在线监控可能导致现实生活中的伤害和暴力。
正因为如此,黑客多次针对这些公司。
电子前沿基金会(EFF)网络安全主任Eva Galperin表示,“跟踪软件行业是一个软目标”。Galperin在接受TechCrunch采访时说:“经营这些公司的人员或许不是最严谨的人,并且可能不太关心产品的质量。”
鉴于跟踪软件的历史妥协情况,这可能是一个低估。由于缺乏保护自己客户以及因此保护成千上万不知情受害者的个人数据的责任心,使用这些应用程序是双重不负责任的行为。使用跟踪软件的客户可能违法、非法窥探伴侣,并且在上述所有问题之外还使所有人的数据处于危险之中。
跟踪软件攻击的历史
从2017年开始的一系列跟踪软件攻击事件始于一个黑客团体连续攻破美国Retina-X和泰国FlexiSpy两家公司。这两起攻击揭示了两家公司在全球拥有总计13万名客户。
当时声称对妥协负责的黑客们自豪地表示他们的动机是揭露并最终摧毁他们认为有毒且不道德的行业。
“我将摧毁他们,并确保他们无处藏身。”其中一名黑客当时告诉Motherboard.
谈到FlexiSpy时,该黑客补充道:“我希望他们能够分崩离析并失败作为一家公司,并有机会反思他们的行为。然而我担心他们可能会以新的形式重生。如果他们这样做的话我会再次出现。”
尽管遭受攻击并且经历了多年负面公众关注,FlexiSpy仍然活跃至今;而Retina-X则不然。
Retina-X遭到入侵者清除服务器以妨碍其运营后东山再起——但一年后再次遭到攻击。
第二次袭击后几周内,黑客袭击了Mobistealth和Spymaster Pro窃取了大量的客户及商业记录、受害者截获的消息以及精确GPS位置。
几个月后不久又发生了第一起意外的数据暴露事件而非黑客攻击。
Spy Fone未保护好Amazon托管S3存储桶使得任何人都可以查看并下载文本消息、照片、音频录音、联系人、位置信息等敏感信息。
其他多年来不负责任地将客户和个人信息暴露在线上的跟踪软件公司包括Family Orbit(留下大量易被找到密码保护的数据)、mSpy(在2018年泄露超过两百万条客户记录)、Xnore(让任何客户都可以查看其他客户的靶标个人信息包括聊天消息、GPS坐标等)、MobiiSpy(留下数万条音频录音及九万多张图片供任何人访问)、KidsGuard(因服务器配置错误导致受害者内容泄漏)、pcTattletale(在其遭到入侵前也暴露了实时上传到可公开访问网站上的受害者设备截图)以及Xnspy(其开发者将凭证及私钥嵌入代码中使得任何人都能访问受害者数据);还有最新出现的问题Cocospy和Spyic同样让受害者的消息、照片、通话记录及其他个人信息以及客户的电子邮件地址暴露在线上。
其他实际遭到入侵或泄漏敏感数据的跟踪软件公司还包括Copy9(所有监视目标的数据包括文本消息及WhatsApp消息、通话录音等都被窃取)、LetMeSpy(在TechCrunch调查后关闭)及其关联业务WebDetetive(服务器被清除后又遭入侵)、OwnSpy(为WebDetetive提供后台服务也被入侵)、具有代码漏洞允许黑客访问后台数据库及数十年间从约6万名受害者处窃取的数据的Spyhide;Oospy是重新包装后的Spyhide,在关闭了一段时间后再次关闭;以及与之前提及的数据泄漏无关的新一轮mSpy攻击。
最后是TheTruthSpy这一网络中的多个跟踪应用组合体,在三次不同的事件中均遭受过攻击或数据泄漏。
被攻破但未悔改
在这23家跟踪软件公司中,据TechCrunch统计有八家已经关闭。
第一次也是迄今为止唯一一次的情况是联邦贸易委员会禁止了SpyFone及其首席执行官Scott Zuckerman继续在监视行业中运营,并且Zuckerman与另一款名为SpyTrac的应用也因先前的安全漏洞导致受害者信息外泄而关闭。
另一些知名的应用如PhoneSpector和Highster也因纽约总检察长指控它们明确鼓励用户使用其非法监控工具而关闭。
但是一个公司的关闭并不意味着它从此消失无踪。就像之前提到的例子一样,在一些情况下同样的所有者及开发者只是重新包装了一下产品而已。
“我认为这些攻击确实起到了作用。”Galperin说,“但是如果你认为只要你攻破一家跟踪应用公司就能让他们愤怒地挥拳怒骂然后消失得无影无踪那显然不是事实。”
“通常情况下当你成功杀死一家追踪应用公司时会出现一种现象:新的追踪应用公司将像雨后的蘑菇一样迅速涌现。”Galperin补充道。
有一些好消息:根据安全公司Malwarebytes去年发布的报告称根据自身感染这种类型软件客户的数据显示使用追踪应用的人数正在减少;同时Galperin也观察到越来越多对这类应用负面评价出现的情况:用户或潜在用户抱怨说它们并未按预期工作。
然而Galperin认为安全厂商可能不再像以前那样擅长检测追踪应用或者追踪者可能转向利用AirTags和其他蓝牙追踪器进行物理监控。
“追踪应用并不孤立存在它是整个技术驱动虐待世界的一部分。”
拒绝使用追踪应用
用监视工具来监控你的亲人不仅不道德而且在大多数司法管辖区都是违法的行为因为它被视为非法监听。 这已经是一个重要的理由不要使用追踪应用。 此外追踪应用制造商一再证明他们无法保证数据的安全性——无论是属于客户的还是属于受害者的。 除了窥探情人或配偶之外有些人还用追踪应用来监控他们的孩子。 虽然在美国这种用途至少是合法的但这并不意味着用追踪应用来窥探孩子的手机不令人毛骨悚然且不道德。 即使合法Galperin认为父母不应该未经告知且未经同意就对孩子进行窥探。 如果父母确实告知孩子并获得许可则应避免使用不安全不可信的追踪应用而是选择苹果手机和平板电脑以及Android设备内置的安全且透明的操作系统提供的家长控制工具。
