mSpy stellt erneut Eltern und Kinder bloß

Quelle: https://www.maclife.de/news/stoppt-ueberwachung-mspy-stellt-erneut-eltern-kinder-bloss-100106945.html

Autor: Alexander Trust

Datum: 06.09.18 - 19:43 Uhr

Stoppt die Überwachung: mSpy stellt erneut Eltern und Kinder bloß

mSpy stellt erneut Eltern und Kinder bloß. Aus Schaden wird man klug? Nicht so die Firma mSpy, die Eltern eine App für iPhones und Android-Smartphones anbietet, damit die ihre Kinder überwachen können. mSpy wurde 2015 bereits einmal gehackt. Nun wurde bekannt, dass eine Datenbank des Anbieters für jeden ersichtlich im Netz verfügbar war. Jeder konnte sich private WhatsApp- und Facebook-Nachrichten von wildfremden Kindern und Jugendlichen durchlesen, hatte Zugriff auf Fotos und mehr.

2015 wurden im Darknet Datenbanken mit Informationen von 400.000 mSpy-Nutzern gehandelt. Aus dem Schaden von damals sind aber vor allem die Eltern nicht klug geworden, wie es scheint. Denn nach wie vor nutzen viele den Service, um ihren Nachwuchs auszuspionieren. Dazu müssen Sie dem Anbieter auch die Autorisierung erteilen, beispielsweise Facebook-Messenger- und WhatsApp-Nachrichten speichern zu können.

Datenbank von mSpy frei zugänglich

Nun entdeckte vergangene Woche der IT-Forensiker Nitish Shah bei seinen Recherchen, dass eine Datenbank des Anbieters mSpy für jeden (der technisch versiert genug ist) frei zugänglich war. Dies hängt damit zusammen, dass die IT des Unternehmens die Datenbank nicht speziell gesichert hatte, sondern mit einer Standardkonfiguration betrieb. Um auf die Daten zuzugreifen benötigte Shah nicht einmal ein Passwort.

Apple IDs auf dem Präsentierteller

Noch dramatischer: Die Eltern präparieren die Überwachungsapp, indem sie ihr Zugriff auf die Apple ID der Kinder geben. Darüber synchronisiert der Dienst die Standortdaten, Nachrichten, Fotos und andere Dinge mehr. Nun sind in den neuerlich entdeckten Daten eben auch die Nutzernamen und Authentifizierungstoken für iCloud enthalten. Darüber können Angreifer alle Daten der Nutzer (meist Minderjährige) abgreifen.

Die Datenbank enthielt außerdem Passwörter, Textnachrichten, Kontakte, Anruflisten, Notizen und anderes mehr. Es soll sich um Millionen von Datensätzen handeln.