Aanbieder van mobiele spyware mSpy heeft voor de tweede keer in drie jaar tijd gevoelige klantgegevens gelekt, zoals wachtwoorden, sms-berichten en locatiegegevens. Een beveiligingsonderzoeker tipte it-journalist Brian Krebs over een onbeveiligde, open database van mSpy die gegevens van klanten bevatte.

Via mSpy kunnen gebruikers het telefoongebruik van een ander monitoren, zoals inkomende en uitgaande gesprekken, sms-berichten, e-mails, gps-locatie, chatgesprekken, internetgebruik en kan er toegang tot het adresboek en agenda worden verkregen. Hiervoor is wel vereist dat de gebruiker fysiek toegang tot het toestel van de ander heeft, zodat mSpy kan worden geïnstalleerd.

De aangetroffen database bevatte gegevens van klanttransacties op de mSpy-website en data die de mSpy-spyware had verzameld. Het ging volgens Krebs om miljoenen records, waaronder gebruikersnamen, wachtwoorden, privé encryptiesleutel van elke mSpy-klant die de afgelopen zes maanden op de website had ingelogd of een mSpy-licentie had aangeschaft. De database bevatte verder de Apple iCloud-gebruikersnaam en authenticatie-token van mobiele apparaten waarop mSpy is geïnstalleerd.

Tevens stonden in de database transactiegegevens van gekochte mSpy-licenties, zoals klantnamen, e-mailadressen, adresgegevens en betaald bedrag. De spyware-aanbieder heeft het datalek bevestigd en de onbeveiligde database offline gehaald. Drie jaar geleden werd mSpy gehackt, waarbij de gegevens van meer dan 400.000 mensen werden buitgemaakt.