Stalkerware araştırmacısı Maia Arson Crime yine iş başında. Hem de büyük bir saldırıyla.
Maia’yı, takip yazılımı satıcılarının peşine düşmeyi seven bir araştırmacı olarak tanıyoruz ve Koalisyon’un kurucu üyelerinden biri olan Malwarebytes da bunu görmekten hoşlanıyor.
Bu sefer hedef şirket, Tracki, GPS izleyicileri satan bir şirket ve kendisini açıkça bir eş veya diğer aile üyesini gözetlemek için bir cihaz olarak pazarlamaktan çekinmiyor. Tracki cihazları bazı büyük telekomünikasyon şirketleri tarafından, bazen Tracki markası altında, bazen de kendi etiketleri altında satılıyor.
Tracki’nin ana şirketi Trackimo (bu ismi biz uydurmadık) watchinU adlı bir yan kuruluşun ortak sahibidir ve bu şirket, Nickelodeon markalı, şu anda yalnızca İngiltere ve İsrail’de satılan NickWatch adında çocuklara yönelik bir akıllı saat üretiyor.
Tracki’ye yönelik soruşturma, karmaşık bir şirketler ağı, şüpheli web siteleri ve sahte kimlikleri ortaya çıkarmanın yanı sıra, Maia’nın yaklaşık 12 milyon kullanıcıyı etkileyebileceğini söylediği bir veri ihlaline de yol açtı.
Takip cihazının arkasındaki teknolojiyi ve tüm takip cihazlarını bir haritada görmek isteyen müşteriler için web portalını araştıran maia, bir dizi yönetim ve destek aracından veri yüklemek için kullanılan çeşitli sabit kodlu kullanıcı adları ve parolalar buldu.
Araçlardan biri olan Trackimo Sorun Giderici, tüm Tracki ve Trackimo cihazlarının uzaktan hata ayıklaması için tasarlanmıştır; bu sayede teknik destek temsilcilerine yalnızca bir cihaz tanımlama numarası girilerek herhangi bir cihazdan neredeyse tüm veriler gösterilebilmektedir.
Bu “basit dahili destek aracı”, Tracki ve Trackimo çalışanları arasında paylaşılan bir parola kullanarak oturum açmaktan başka bir kimlik doğrulaması gerektirmiyordu. Tek ihtiyacınız olan, standart bir formatı izleyen bir cihaz kimliği, bu nedenle biraz komut dosyasıyla her cihazdan tüm ilgili verileri almak mümkün gibi görünüyor.
Tracki desteği, dünya çapında yerel ve federal kolluk kuvvetlerinden haftada birden fazla celp alıyor. Birçoğu takip veya taciz için, ancak bazen aile içi şiddet, cinayete teşebbüs ve cinayet gibi diğer suçlamalar için de. Tüm bu vakalarda, kurban bir Tracki cihazı kullanılarak takip ediliyordu. maia, Trackimo’nun yalnızca bu kullanım durumlarının farkında olmadığını, aynı zamanda müşterilerin yardım masası aracılığıyla bireylerin rızası olmadan izlenmesini ayarlamalarına aktif olarak yardımcı olduğunu söylüyor.
Endişe verici bir şekilde, ABD’deki ve dünyadaki diğer hükümetlerdeki kurumlar ve askeri programlar, genellikle varlık, personel ve araç takibi için Tracki cihazlarını kullanıyor.
Bu araştırmadan çıkardığımız sonuç, hemen hemen her türden takip yazılımı kullanmaya karar verdiğinizde, hedefi takip edebilecek tek kişinin siz olmadığınızdır. Bu şirketlerin kayıtlarını güvenli tutmak için beklediğiniz veya umduğunuz kadar yatırım yapmadıklarını defalarca gösterdik.
Şirketler ve bunların arkasındaki kişiler hakkında merakınız varsa lütfen maia’nın blogunu okuyun. Çok fazla sulu ayrıntı içeriyor.
Malwarebytes, kişisel verilerinizin ne kadarının çevrimiçi olarak ifşa edildiğini kontrol etmeniz için ücretsiz bir araca sahiptir. E-posta adresinizi (en sık kullandığınızı vermek en iyisidir) ücretsiz Dijital Ayak İzi taramamıza gönderin ve size bir rapor ve öneriler verelim.
Sadece tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Bugün Malwarebytes’ı indirerek tehditleri cihazlarınızdan uzak tutun.