Ключевые выводы
- 536 тыс. записей о платежах клиентов сталкервара попали в открытый доступ
- Украинская компания Struktura оказалась оператором опасных шпионских сервисов
- Уязвимости в безопасности разработчиков — системная проблема всей отрасли
Обычно говорят о жертвах шпионских приложений. Но в этом случае хакер по имени wikkid обнародовал данные тех, кто платил за слежку. Разбираемся, почему и как это случилось.
Суть утечки: что именно украли
В открытый доступ попали 536 тысяч строк данных о транзакциях. В них вошли:
• Email-адреса покупателей
• Названия приложений (uMobix, Xnspy, Geofinder)
• Суммы платежей
• Типы карт (Visa/Mastercard)
• Последние 4 цифры карт
Интересно, что часть тестовых транзакций принадлежала самой компании. Например, генеральный директор Struktura Виктория Зосим фигурирует в сделке на $1.
Как проверяли данные
Эксперты использовали два метода проверки подлинности информации. Сначала они восстановили доступ к аккаунтам через публичные email-адреса (типа Mailinator), используя формы восстановления паролей на сайтах шпионских приложений.
Более эффективным способом оказалось использование уникальных номеров инвойсов. Через форму проверки платежей на сайте вендора можно было получить полные данные о транзакции без какого-либо подтверждения доступа. Это и стало главной брешью в безопасности.
Кто стоит за утечкой
Хактивист под псевдонимом "wikkid" заявил, что нашёл баг на сайте вендора. Эксплуатация уязвимости не требовала серьезных технических навыков - проблема была в дизайне платёжной системы.
«Мне просто было интересно взламывать приложения, которые используют для слежки», - пояснил хакер в переписке. После сканирования баз он опубликовал данные на специализированном форуме.
Двойная игра: Struktura против Ersten Group
По документам оператором приложений значится Ersten Group - компания с локацией в Великобритании. Однако внутренние email-адреса указывают на структуры украинской Struktura.
Офис Ersten Group выглядел виртуальным - одинаковые сайты, одни и те же приложения и поддержка. Такой дублирующий брендинг часто используется для манёвров в правовом поле.
Риски для пользователей
• Владельцы сталикервара теперь знают о компрометации своих данных
• Жертвы слежки могут идентифицировать своих преследователей
• Финансовые данные могут использоваться для мошенничества
Особенно опасны сервисы вроде Glassagram (теперь Peekviewer), который рекламирует доступ к приватным аккаунтам Instagram*** — это прямое нарушение политики безопасности соцсети.
Правовые последствия
Использование шпионских приложений для слежки за партнёрами или супругами прямо запрещено законами большинства стран. В США в 2026 году основатель аналогичного сервиса уже получил уголовный срок.
Но разработчики из Восточной Европы часто работают в серой зоне, меняя юрисдикции и названия. Пока не будет международных санкций, проблему не решить.
Справка
uMobix — приложение для скрытого слежения за смартфонами. Создано в 2019 году, позиционировалось как «родительский контроль». В 2021 стало фигурировать в делах о домашнем насилии.
Xnspy — школа шпионажа от разработчиков из Пакистана. В 2022 году уже допускал утечку данных 40 000 пользователей. Особая опасность — функция записи окружения через микрофон.
Struktura OÜ — украинско-эстонский разработчик софта. Основана в 2018. Выпускает более 12 приложений с функциями слежения под разными брендами. Особое внимание уделяет SEO-продвижению.
Viktoriia Zosim — генеральный директор Struktura. Начала карьеру в IT-аутсорсинге. В 2019 переключилась на «софт для отношений». Известна участием в киевских стартап-конференциях.
Geofinder — сервис отслеживания по геолокации без ведома пользователя. Разработчики утверждают, что это инструмент для поиска потерянных телефонов. Но функционал позволяет скрыто мониторить перемещения.
Это не первый и не последний провал безопасности в индустрии шпионского ПО. Пока компании экономят на защите данных, страдают все — и жертвы слежки, и те, кто её оплачивает. Пора задуматься о законодательном регулировании этого рынка.
