Polacy myśleli, że są mistrzami szpiegowania. Hakerzy przejęli ich spyware i dane użytkowników
Usługa typu spyware LetMeSpy przestała działać. To jednak nie jest refleksja związana z etyką prowadzonej działalności - a kompletny upadek wywołany włamaniem hakerów. Takich z prawdziwego zdarzenia, a nie ekspertów od szpiegowania żon i podwładnych.
LetMeSpy to szczególny rodzaj spyware’u. Oprogramowanie można (a raczej: można było, o czym za chwilę) bowiem zamówić na standardowo działającej stronie internetowej. Jego twórcy wręcz deklarują, że aplikacja służy do poprawy bezpieczeństwa bliskich, dzieci czy możliwości kontroli produktywności pracowników. Tyle że granica dzieląca LetMySpy od pospolitego malware’u jest co najwyżej umowna.
Czytaj także:
- Możesz stracić pieniądze, jeśli posłuchasz instrukcji. Chodzi o twój ulubiony serwis
- Kapitalna nowość w wyszukiwarce. Aż dziw, że Google się na to zdecydował
- Chciał zarobić, stracił wszystko. Historia tego oszustwa jest jak scenariusz filmu
Aplikacja i powiązana z nią usługa są zaprojektowane tak, by łamać zabezpieczenia systemu Android i ukrywać jej obecność i działanie przed użytkownikiem telefonu. Nie jest widoczna na ekranie aplikacji, trudno ją znaleźć w systemie, jeszcze trudniej usunąć. A sama aplikacja swojego czasu nie marnuje: po instalacji zaczyna wysyłać na swój serwer wszystkie SMS-y, historię połączeń, dokładne dane lokalizacyjne i inne wrażliwe informacje. Kraść dane to jedno - specjaliści z, jak się okazuje, Krakowa nie mieli pojęcia jak te dane zabezpieczyć. Efekt jest łatwy do przewidzenia. Zebrane krytyczne dane od tysięcy użytkowników zostały przejęte przez hakera.
Kradli dane na polecenie swoich klientów. Teraz nie tylko sami padli ofiarą kradzieży, to na dodatek rzeczone dane… stracili.
Nie jest jasne co ów haker zrobił z wykradzionymi danymi. Należy założyć, że prawdopodobnie trafiły na jakąś darknetową aukcję. Niestety nie jest możliwym ostrzeżenie poszkodowanych użytkowników, bo ci z oczywistych względów nie mieli pojęcia, że padli ofiarą LetMeSpy. Jest pewna niewielka szansa, że całe to zamieszanie miało na celu tylko danie nauczki twórcom tego spyware’u. Włamywacz bowiem podzielił się anonimowo kilkoma uwagami z redakcją Niebezpiecznika już dwa miesiące temu.
Po pierwsze, mniej ciekawe: deklaracje na witrynie LetMeSpy o rzekomych setkach tysięcy instalacji okazały się bujdą, bowiem z bazy danych wynika, że monitorowanych było kilkanaście tysięcy osób. Po drugie, istotnie ciekawsze: z wykradzionej bazy wynika, że twórcą LetMeSpy i podmiotem odnoszącym korzyści majątkowe z jego dystrybucji jest legalnie działająca firma Radeal Technologies z Krakowa. Spider’s Web nie zdecydował się na prośbę o komentarz: odmówiono go już Niebezpiecznikowi i TechCrunchowi.
Radeal badał sprawę przez ponad dwa miesiące, od początku czerwca - podczas gdy LetMeSpy niezmiennie był oferowany na swojej stronie internetowej. W końcu jednak właściciel przyznał, że w wyniku ataku wymazano wszystkie dane z serwerów. Usługa nie może już działać, dane zebrane przez spyware na telefonach wyparowały z LetMeSpy (pojawiając się za to na hakerskich forach internetowych).
Nie istnieje coś takiego, jak legalny spyware. Przynajmniej nie w Polsce.
Twórca oprogramowania spyware może narazić się na konsekwencje prawne zarówno w Polsce, jak i w innych krajach, w których jego oprogramowanie jest używane lub rozpowszechniane. Niektóre z możliwych konsekwencji to:
- Odpowiedzialność karna: W Polsce twórca oprogramowania spyware może być ścigany na podstawie art. 267 kodeksu karnego, który zabrania nieuprawnionego dostępu do informacji lub danych informatycznych. Kara za to przestępstwo to grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. W innych krajach, takich jak Stany Zjednoczone, Niemcy czy Francja, twórca oprogramowania spyware również może być pociągnięty do odpowiedzialności karnej na podstawie podobnych przepisów.
- Odpowiedzialność cywilna: Twórca oprogramowania spyware może być również pozwany przez użytkowników lub inne podmioty, które poniosły szkodę w wyniku jego działania. Szkoda ta może polegać na naruszeniu prywatności, bezpieczeństwa, praw autorskich lub innych praw majątkowych. W zależności od systemu prawnego i wysokości szkody, twórca oprogramowania spyware może być zobowiązany do zapłaty odszkodowania, zadośćuczynienia lub innych świadczeń.
- Odpowiedzialność administracyjna: Twórca oprogramowania spyware może być również ukarany przez organy administracyjne, które nadzorują przestrzeganie prawa w zakresie ochrony danych osobowych, praw autorskich lub konkurencji. W Polsce takim organem jest Urząd Ochrony Danych Osobowych (UODO), który może nałożyć na twórcę oprogramowania spyware karę pieniężną do 20 mln euro lub 4 proc. rocznego obrotu. W innych krajach istnieją podobne organy i sankcje.
Warto mieć powyższe na uwadze za każdym razem, jak komuś do głowy przyjdzie genialny pomysł na szpiegowanie partnera lub partnerki czy zatrudnionych pracowników. Abstrahując od braku etyki, konsekwencje prawne są zbyt poważne, by gra była warta świeczki.