Es gibt eine ganze zwielichtige Branche für Leute, die ihre Familien überwachen und ausspionieren wollen. Zahlreiche App-Hersteller vermarkten ihre Software – manchmal auch als Stalkerware bezeichnet – an eifersüchtige Partner, die diese Apps nutzen können, um aus der Ferne auf die Telefone ihrer Opfer zuzugreifen.
Doch trotz der Sensibilität dieser Daten gehen bei immer mehr Unternehmen große Mengen davon verloren.
Laut der Zählung von Tech, die den jüngsten Hack von mSpy mit einschließt, sind seit 2017 mindestens 20 Stalkerware-Unternehmen bekannt, die gehackt wurden oder Kunden- und Opferdaten online weitergegeben haben. Das ist kein Schreibfehler: Zwanzig Stalkerware-Unternehmen wurden in den letzten Jahren entweder gehackt oder es kam zu erheblichen Datenverlusten. Und vier Stalkerware-Unternehmen wurden mehrfach gehackt.
Allein im Jahr 2024 gab es mindestens zwei massive Stalkerware-Hacks. Der jüngste Angriff betraf mSpy, eine der am längsten aktiven Stalkerware-Apps, und legte Millionen von Kundensupport-Tickets offen, die die persönlichen Daten von Millionen seiner Kunden enthielten.
Zuvor hatte sich ein unbekannter Hacker Zugang zu den Servern des in den USA ansässigen Stalkerware-Herstellers pcTattletale verschafft. Anschließend stahl der Hacker interne Daten des Unternehmens und gab sie weiter. Außerdem verunstaltete er die offizielle Website von pcTattletale, um das Unternehmen bloßzustellen. Der Hacker bezog sich dabei auf einen aktuellen Tech-Artikel, in dem wir berichteten, dass pcTattletale zur Überwachung mehrerer Check-in-Computer an der Rezeption einer US-Hotelkette eingesetzt wurde.
Als Folge dieser Hacker-, Leak- und Beschämungsaktion kündigte pcTattletale-Gründer Bryan Fleming die Schließung seines Unternehmens an.
Spyware-Apps für Privatanwender wie mSpy und pcTattletale werden häufig als „Stalkerware“ (oder Spekulantenware) bezeichnet, da eifersüchtige Ehepartner und Partner sie verwenden, um ihre Liebsten heimlich zu überwachen. Diese Unternehmen vermarkten ihre Produkte oft explizit als Lösungen, um untreue Partner zu erwischen, indem sie illegales und unethisches Verhalten fördern. Und Es gab mehrere Gerichtsverfahrenjournalistische Recherchen und Umfragen in Frauenhäusern die zeigen, dass Online-Stalking und -Überwachung zu Schäden und Gewalt in der realen Welt führen können.
Aus diesem Grund geraten einige dieser Unternehmen immer wieder ins Visier von Hackern.
Eva Galerpin, Leiterin für Cybersicherheit bei der Electronic Frontier Foundation und führende Forscherin und Aktivistin, die seit Jahren Stalkerware untersucht und bekämpft, sagte, die Stalkerware-Industrie sei ein „leichtes Ziel“.
„Die Leute, die diese Unternehmen leiten, sind vielleicht nicht die gewissenhaftesten oder wirklich um die Qualität ihrer Produkte besorgt“, sagte Galperin gegenüber Tech.
Angesichts der Geschichte von Stalkerware-Angriffen ist das vielleicht noch untertrieben. Und da man sich nicht darum kümmert, die eigenen Kunden – und damit die persönlichen Daten von Zehntausenden ahnungslosen Opfern – zu schützen, ist die Nutzung dieser Apps doppelt unverantwortlich. Die Stalkerware-Kunden verstoßen möglicherweise gegen das Gesetz, missbrauchen ihre Partner, indem sie sie illegal ausspionieren, und gefährden darüber hinaus die Daten aller.
Eine Geschichte der Stalkerware-Hacks
Die Flut von Stalkerware-Angriffen begann 2017, als eine Gruppe von Hackern hat den US-basierten Retina-X durchbrochen und das FlexiSpy mit Sitz in Thailand Rücken an Rücken. Diese beiden Hacks enthüllten, dass die Unternehmen insgesamt 130.000 Kunden auf der ganzen Welt hatten.
Damals erklärten die Hacker, die stolz die Verantwortung für die Angriffe übernahmen, ausdrücklich, dass ihr Motiv darin bestand, eine Branche, die sie für toxisch und unethisch hielten, aufzudecken und hoffentlich zu ihrer Zerstörung beizutragen.
„Ich werde sie niederbrennen und absolut keinen Ort übrig lassen, an dem sich einer von ihnen verstecken kann“, sagte einer der beteiligten Hacker damals gegenüber Motherboard.
In Bezug auf FlexiSpy fügte der Hacker hinzu: „Ich hoffe, dass sie als Unternehmen auseinanderfallen und scheitern und dass sie etwas Zeit haben, über ihre Taten nachzudenken. Ich fürchte jedoch, dass sie versuchen könnten, sich in neuer Form neu zu erfinden. Aber wenn sie das tun, werde ich da sein.“
Trotz des Hacks und jahrelanger negativer öffentlicher Aufmerksamkeit ist FlexiSpy noch heute aktiv. Das Gleiche kann man von Retina-X nicht behaupten.
Der Hacker, der bei Retina-X eingebrochen ist, hat die Server gelöscht, um den Betrieb zu behindern. Das Unternehmen hat sich erholt – und dann wurde es ein Jahr später erneut gehackt. Ein paar Wochen nach dem zweiten Verstoß Retina-X gab die Schließung bekannt.
Nur wenige Tage nach dem zweiten Retina-X-Einbruch, Hacker greifen Mobistealth und Spy Master Pro andie Gigabyte an Kunden- und Geschäftsdaten sowie abgefangene Nachrichten und genaue GPS-Standorte der Opfer stahl. Ein weiterer Stalkerware-Anbieter, der in Indien ansässige SpyHumanerlitt einige Monate später das gleiche Schicksal, als Hacker Textnachrichten und Anrufmetadaten stahlen, die Protokolle darüber enthielten, wer wen wann angerufen hatte.
Wochen später kam es zum ersten Fall einer versehentlichen Datenfreigabe und nicht etwa eines Hacks. SpyFone hat einen von Amazon gehosteten S3-Speicher-Bucket ungeschützt online gelassenwas bedeutete, dass jeder Textnachrichten, Fotos, Audioaufnahmen, Kontakte, Standort, verschlüsselte Passwörter und Anmeldeinformationen, Facebook-Nachrichten und mehr sehen und herunterladen konnte. Alle diese Daten wurden den Opfern gestohlen, von denen die meisten nicht wussten, dass sie ausspioniert wurden, geschweige denn, dass ihre sensibelsten persönlichen Daten ebenfalls für alle sichtbar im Internet waren.
Andere Stalkerware-Unternehmen, die im Laufe der Jahre verantwortungslos Daten von Kunden und Opfern online gestellt haben, sind FamilyOrbit, das 281 Gigabyte an persönlichen Daten online gestellt hat. nur durch ein leicht zu findendes Passwort geschützt; mSpy, das 2018 über 2 Millionen Kundendatensätze durchsickern ließ; Xnore, das jedem seiner Kunden die Einsicht in die persönlichen Daten der Ziele anderer Kunden ermöglichendas Chat-Nachrichten, GPS-Koordinaten, E-Mails, Fotos und mehr enthielt; Mobiispy, das 25.000 Audioaufnahmen und 95.000 Bilder hinterließ auf einem für jedermann zugänglichen Server; KidsGuard, dessen Server falsch konfiguriert war und die Inhalte der Opfer durchsickern ließ; pcTattletale, das vor dem Hack auch in Echtzeit hochgeladene Screenshots der Geräte der Opfer zu einer Website, auf die jeder zugreifen konnte; und Xnspy, dessen Entwickler Anmeldeinformationen und private Schlüssel im Code der Apps beließen, sodass jeder auf die Daten der Opfer zugreifen konnte.
Zu den anderen Stalkerware-Unternehmen, die tatsächlich gehackt wurden, gehört Copy9, das Ein Hacker stiehlt die Daten aller seiner Überwachungszieledarunter Textnachrichten und WhatsApp-Nachrichten, Anrufaufzeichnungen, Fotos, Kontakte und Browserverlauf; LetMeSpy, das geschlossen wurde, nachdem Hacker in seine Server eingedrungen waren und diese gelöscht hatten; das in Brasilien ansässige Unternehmen WebDetetive, dessen Server ebenfalls gelöscht wurden, und dann wieder gehackt; OwnSpy, das einen Großteil der Backend-Software für WebDetective bereitstellt, wurde ebenfalls gehackt; Spyhide, dessen Code eine Schwachstelle aufwies, die es einem Hacker ermöglichte, auf die Backend-Datenbanken zuzugreifen und die über Jahre hinweg gestohlenen Daten von rund 60.000 Opfern zu stehlen; Oospy, das eine Umbenennung von Spyhide war, wurde zum zweiten Mal geschlossen; und der jüngste mSpy-Hack, der nichts mit dem zuvor erwähnten Leck zu tun hat.
Und schließlich gibt es noch TheTruthSpy, ein Netzwerk aus Stalkerware-Apps, das den zweifelhaften Rekord hält, bei mindestens drei verschiedenen Gelegenheiten gehackt worden zu sein oder Daten geleakt zu haben.
Gehackt, aber keine Reue
Von diesen 20 Stalkerware-Unternehmen haben der Zählung von Tech zufolge acht geschlossen.
In einem ersten und bislang einzigartigen Fall hat die Federal Trade Commission SpyFone und seinem Geschäftsführer Scott Zuckerman verboten, in der Überwachungsbranche tätig zu sein, nachdem zuvor eine Sicherheitslücke die Daten der Opfer offengelegt hatte. Ein weiterer mit Zuckerman in Verbindung stehender Stalkerware-Betrieb namens SpyTrac wurde nach einer Untersuchung von Tech geschlossen.
PhoneSpector und Highster, zwei weitere Unternehmen, von denen nicht bekannt ist, dass sie gehackt wurden, wurden ebenfalls geschlossen, nachdem der Generalstaatsanwalt von New York den Unternehmen vorgeworfen hatte, ihre Kunden ausdrücklich dazu ermutigt zu haben, ihre Software für illegale Überwachungszwecke zu verwenden.
Aber eine Firmenschließung bedeutet nicht, dass das Unternehmen für immer verschwunden ist. Wie bei Spyhide und SpyFone haben einige der gleichen Eigentümer und Entwickler hinter einem geschlossenen Stalkerware-Hersteller einfach einen neuen Namen eingeführt.
„Ich glaube schon, dass diese Hacker etwas bewirken. Sie erreichen tatsächlich etwas, sie hinterlassen einen Eindruck“, sagte Galperin. „Aber wenn Sie glauben, dass, wenn Sie ein Stalkerware-Unternehmen hacken, diese einfach mit der Faust drohen, Ihren Namen verfluchen, in einer blauen Rauchwolke verschwinden und nie wieder gesehen werden, dann ist das definitiv nicht der Fall.“
„Wenn es einem tatsächlich gelingt, ein Stalkerware-Unternehmen zu zerstören, passiert es meistens, dass das Stalkerware-Unternehmen wie Pilze nach dem Regen aus dem Boden schießt“, fügte Galperin hinzu.
Es gibt gute Nachrichten. In einem Bericht vom letzten Jahr sagte das Sicherheitsunternehmen Malwarebytes: der Einsatz von Stalkerware nimmt abwie aus eigenen Daten von Kunden hervorgeht, die mit dieser Art von Software infiziert sind. Außerdem berichtet Galperin von einer Zunahme negativer Bewertungen dieser Apps, in denen sich Kunden oder potenzielle Kunden darüber beschweren, dass sie nicht wie vorgesehen funktionieren.
Galperin sagte jedoch, es sei möglich, dass Sicherheitsfirmen Stalkerware nicht mehr so gut erkennen könnten wie früher oder dass Stalker von der softwarebasierten Überwachung zur physischen Überwachung übergegangen seien, die durch AirTags und andere Bluetooth-fähige Tracker ermöglicht werde.
„Stalkerware existiert nicht im luftleeren Raum. Stalkerware ist Teil einer ganzen Welt des technisch ermöglichten Missbrauchs“, sagte Galperin.
Sagen Sie Nein zu Stalkerware
Die Verwendung von Spyware zur Überwachung Ihrer Liebsten ist nicht nur unethisch, sondern in den meisten Rechtsgebieten auch illegal, da es als unrechtmäßige Überwachung gilt.
Das ist schon ein wichtiger Grund, keine Stalkerware zu verwenden. Hinzu kommt, dass die Hersteller von Stalkerware immer wieder bewiesen haben, dass sie Daten nicht sicher aufbewahren können – weder die der Kunden noch die ihrer Opfer oder Ziele.
Abgesehen davon, dass sie Lebenspartner und Ehepartner ausspionieren, nutzen manche Leute Stalkerware-Apps, um ihre Kinder zu überwachen. Obwohl diese Art der Nutzung zumindest in den Vereinigten Staaten legal ist, bedeutet das nicht, dass die Verwendung von Stalkerware zum Ausspionieren des Telefons Ihrer Kinder nicht gruselig und unethisch ist.
Auch wenn es legal ist, ist Galperin der Meinung, dass Eltern ihre Kinder nicht ohne ihr Wissen und ihre Zustimmung ausspionieren sollten.
Wenn Eltern ihre Kinder informieren und deren Erlaubnis erhalten, sollten sie sich von unsicheren und nicht vertrauenswürdigen Stalkerware-Apps fernhalten und integrierte Überwachungstools für Eltern verwenden. Apple-Telefone und -Tablets Und Android-Geräte die sicherer sind und offen operieren.
Am 16. Juli aktualisiert, um mSpy als neueste Spyware aufzunehmen, die gehackt wurde.
Wenn Sie oder jemand, den Sie kennen, Hilfe braucht, bietet die National Domestic Violence Hotline (1-800-799-7233) rund um die Uhr kostenlose, vertrauliche Unterstützung für Opfer von häuslichem Missbrauch und Gewalt. Wenn Sie sich in einer Notsituation befinden, rufen Sie 911 an. Die Koalition gegen Stalkerware verfügt über Ressourcen, wenn Sie glauben, dass Ihr Telefon von Spyware befallen ist.