Conecte-se com a gente!

TECNOLOGIA

Hackeado, vazado, exposto: por que você nunca deve usar aplicativos de stalkerware

Existe toda uma indústria obscura para pessoas que querem monitorar e espionar suas famílias. Vários fabricantes de aplicativos comercializam seus softwares — às vezes chamados de stalkerware — para parceiros invejosos que podem usar esses aplicativos para acessar os telefones de suas vítimas remotamente.

No entanto, apesar de quão sensíveis esses dados são, um número crescente dessas empresas está perdendo grandes quantidades deles.

De acordo com a contagem do TechCrunch, contando o último hack no Spytechhouve pelo menos 21 empresas de stalkerware desde 2017 que são conhecidas por terem sido hackeadas ou vazado dados de clientes e vítimas online. Isso não é um erro de digitação: pelo menos vinte e uma empresas de stalkerware foram hackeadas ou tiveram uma exposição significativa de dados nos últimos anos. E quatro empresas de stalkerware foram hackeadas várias vezes.

Só em 2024, houve pelo menos quatro hacks massivos de stalkerware. A violação mais recente afetou Spytech, um fabricante de spyware pouco conhecido com sede em Minnesotaque expôs registros de atividades de telefones, tablets e computadores monitorados com seu spyware. Antes disso, houve uma violação no mSpy, um dos aplicativos de stalkerware mais antigos, que expôs milhões de tickets de suporte ao clienteque incluía os dados pessoais de milhões de seus clientes.

Anteriormente, um hacker desconhecido invadiu os servidores do fabricante de stalkerware pcTattletale, sediado nos EUA. O hacker então roubou e vazou os dados internos da empresa. Eles também desfiguraram o site oficial do pcTattletale com o objetivo de envergonhar a empresa. O hacker se referiu a um artigo recente do TechCrunch onde relatamos O pcTattletale foi usado para monitorar vários computadores de check-in da recepção em uma rede de hotéis dos EUA.

Como resultado desta operação de hack, vazamento e vergonha, o fundador do pcTattletale, Bryan Fleming disse que estava fechando A companhia dele.

Aplicativos de spyware para consumidores como mSpy e pcTattletale são comumente chamados de “stalkerware” (ou spouseware) porque cônjuges e parceiros ciumentos os usam para monitorar e vigiar secretamente seus entes queridos. Essas empresas geralmente comercializam explicitamente seus produtos como soluções para pegar parceiros infiéis, incentivando comportamento ilegal e antiético. E houve vários processos judiciais, investigações jornalísticas e pesquisas sobre abrigos para vítimas de violência doméstica que mostram que a perseguição e o monitoramento online podem levar a casos de danos e violência no mundo real.

E é por isso que hackers têm repetidamente atacado algumas dessas empresas.

Eva Galperin, diretora de segurança cibernética da Electronic Frontier Foundation e uma importante pesquisadora e ativista que investigou e lutou contra stalkerware por anos, disse que a indústria de stalkerware é um “alvo fácil”.

“As pessoas que administram essas empresas talvez não sejam as mais escrupulosas ou realmente preocupadas com a qualidade de seus produtos”, disse Galperin ao TechCrunch.

Dado o histórico de comprometimentos de stalkerware, isso pode ser um eufemismo. E por causa da falta de cuidado em proteger seus próprios clientes — e consequentemente os dados pessoais de dezenas de milhares de vítimas involuntárias — usar esses aplicativos é duplamente irresponsável. Os clientes de stalkerware podem estar infringindo a lei, abusando de seus parceiros ao espioná-los ilegalmente e, além disso, colocando os dados de todos em perigo.

Uma história de hacks de stalkerware

A onda de violações de stalkerware começou em 2017, quando um grupo de hackers violou o Retina-X baseado nos EUA e a FlexiSpy com sede na Tailândia consecutivamente. Esses dois hacks revelaram que as empresas tinham um número total de 130.000 clientes em todo o mundo.

Na época, os hackers que — orgulhosamente — assumiram a responsabilidade pelos comprometimentos disseram explicitamente que suas motivações eram expor e, com sorte, ajudar a destruir uma indústria que eles consideram tóxica e antiética.

“Vou queimá-los até o chão e não deixar nenhum lugar para eles se esconderem”, disse um dos hackers envolvidos à Motherboard.

Referindo-se à FlexiSpy, o hacker acrescentou: “Espero que eles se desintegrem e falhem como empresa, e tenham algum tempo para refletir sobre o que fizeram. No entanto, temo que eles possam tentar dar à luz a si mesmos novamente em uma nova forma. Mas se o fizerem, estarei lá.”

Apesar do hack e de anos de atenção pública negativa, o FlexiSpy ainda está ativo hoje. O mesmo não pode ser dito sobre o Retina-X.

O hacker que invadiu o Retina-X limpou seus servidores com o objetivo de prejudicar suas operações. A empresa se recuperou — e então foi hackeado novamente um ano depois. Algumas semanas após a segunda violação, Retina-X anunciou que estava sendo encerrado.

Poucos dias após a segunda violação do Retina-X, hackers atacam Mobistealth e Spy Master Proroubando gigabytes de registros de clientes e negócios, bem como mensagens interceptadas de vítimas e localizações precisas de GPS. Outro fornecedor de stalkerware, o SpyHuman com sede na Índiateve o mesmo destino alguns meses depois, com hackers roubando mensagens de texto e metadados de chamadas, que continham registros de quem ligou para quem e quando.

Semanas depois, houve o primeiro caso de exposição acidental de dados, em vez de um hack. SpyFone deixou um bucket de armazenamento S3 hospedado pela Amazon desprotegido onlineo que significava que qualquer um podia ver e baixar mensagens de texto, fotos, gravações de áudio, contatos, localização, senhas embaralhadas e informações de login, mensagens do Facebook e muito mais. Todos esses dados eram roubados das vítimas, a maioria das quais não sabia que estava sendo espionada, muito menos que seus dados pessoais mais sensíveis também estavam na internet para todos verem.

Outras empresas de stalkerware que ao longo dos anos deixaram irresponsavelmente dados de clientes e vítimas online são a FamilyOrbit, que deixou 281 gigabytes de dados pessoais online. protegido apenas por uma senha fácil de encontrar; mSpy, que vazou mais de 2 milhões de registros de clientes em 2018; Xnore, que permitir que qualquer um dos seus clientes veja os dados pessoais dos alvos de outros clientesque incluía mensagens de bate-papo, coordenadas de GPS, e-mails, fotos e muito mais; MobiiSpy, que deixou 25.000 gravações de áudio e 95.000 imagens em um servidor acessível a qualquer pessoa; KidsGuard, que tinha um servidor mal configurado que vazou o conteúdo das vítimas; pcTattletale, que antes de seu hack também capturas de tela expostas dos dispositivos das vítimas carregadas em tempo real para um site que qualquer pessoa poderia acessar; e Xnspy, cujos desenvolvedores credenciais e chaves privadas deixadas no código dos aplicativospermitindo que qualquer pessoa acesse os dados das vítimas.

No que diz respeito a outras empresas de stalkerware que foram realmente hackeadas, houve a Copy9, que viu um hacker rouba os dados de todos os seus alvos de vigilânciaincluindo mensagens de texto e mensagens do WhatsApp, gravações de chamadas, fotos, contatos e histórico do navegador; LetMeSpy, que fechou depois que hackers violaram e apagaram seus servidores; o WebDetetive sediado no Brasil, que também teve seus servidores apagadose então hackeado novamente; OwnSpy, que fornece grande parte do software de back-end para WebDetetive, também foi hackeado; Spyhide, que tinha uma vulnerabilidade em seu código que permitiu que um hacker acessasse os bancos de dados de back-end e anos de dados roubados de cerca de 60.000 vítimas; Oospy, que era uma reformulação da marca Spyhide, desligado pela segunda vez; e o último hack do mSpy, que não está relacionado ao vazamento mencionado anteriormente.

Finalmente, há TheTruthSpy, um rede de aplicativos de stalkerwareque detém o duvidoso histórico de ter sido hackeado ou de ter vazado dados em pelo menos três separado ocasiões.

Hackeado, mas sem arrependimento

Dessas 21 empresas de stalkerware, oito fecharam, de acordo com a contagem do TechCrunch.

Num primeiro e até agora único caso, a Comissão Federal de Comércio baniu o SpyFone e seu presidente executivo, Scott Zuckermande operar na indústria de vigilância após um lapso de segurança anterior que expôs os dados das vítimas. Outra operação de stalkerware ligada a Zuckerman, chamada SpyTrac, posteriormente desligado após uma investigação do TechCrunch.

PhoneSpector e Highster, outras duas empresas que não são conhecidas por terem sido hackeadas, também desligado depois que o procurador-geral de Nova York acusou as empresas de encorajar explicitamente os clientes a usar seus softwares para vigilância ilegal.

Mas o fechamento de uma empresa não significa que ela se foi para sempre. Assim como aconteceu com Spyhide e SpyFone, alguns dos mesmos donos e desenvolvedores por trás de um fabricante de stalkerware fechado simplesmente mudaram de marca.

“Eu acho que esses hacks fazem coisas. Eles realizam coisas, eles fazem um estrago nisso”, disse Galperin. “Mas se você acha que se você hackear uma empresa de stalkerware, eles simplesmente sacudirão os punhos, xingarão seu nome, desaparecerão em uma nuvem de fumaça azul e nunca mais serão vistos, esse definitivamente não é o caso.”

“O que acontece com mais frequência, quando você realmente consegue matar uma empresa de stalkerware, é que a empresa de stalkerware surge como cogumelos depois da chuva”, acrescentou Galperin.

Há algumas boas notícias. Em um relatório do ano passado, a empresa de segurança Malwarebytes disse que o uso de stalkerware está diminuindode acordo com seus próprios dados de clientes infectados com esse tipo de software. Além disso, a Galperin relata ver um aumento em avaliações negativas desses aplicativos, com clientes ou clientes em potencial reclamando que eles não funcionam como o esperado.

Mas Galperin disse que é possível que as empresas de segurança não sejam tão boas em detectar stalkerware como costumavam ser, ou os stalkers migraram da vigilância baseada em software para a vigilância física habilitada por AirTags e outros rastreadores habilitados para Bluetooth.

“Stalkerware não existe em um vácuo. Stalkerware é parte de um mundo inteiro de abuso habilitado por tecnologia”, disse Galperin.

Diga não ao stalkerware

Usar spyware para monitorar seus entes queridos não é apenas antiético, mas também ilegal na maioria das jurisdições, pois é considerado vigilância ilegal.

Isso já é um motivo significativo para não usar stalkerware. Depois, há o problema de que os criadores de stalkerware provaram repetidamente que não conseguem manter os dados seguros — nem os dados pertencentes aos clientes, nem suas vítimas ou alvos.

Além de espionar parceiros românticos e cônjuges, algumas pessoas usam aplicativos de stalkerware para monitorar seus filhos. Embora esse tipo de uso, pelo menos nos Estados Unidos, seja legal, isso não significa que usar stalkerware para bisbilhotar o telefone dos seus filhos não seja assustador e antiético.

Mesmo que seja legal, Galperin acha que os pais não devem espionar seus filhos sem avisá-los e sem seu consentimento.

Se os pais informarem os filhos e obtiverem autorização, eles devem ficar longe de aplicativos de stalkerware inseguros e não confiáveis ​​e usar ferramentas de rastreamento parental integradas. Telefones e tablets da Apple e Dispositivos Android que são mais seguros e operam abertamente.

Recapitulação de violações e vazamentos

Aqui está a lista completa de empresas de stalkerware que foram hackeadas ou vazaram dados confidenciais desde 2017, em ordem cronológica:

Atualizado em 25 de julho para incluir o Spytech como o mais recente spyware a ser violado.


Se você ou alguém que você conhece precisa de ajuda, a National Domestic Violence Hotline (1-800-799-7233) fornece suporte gratuito e confidencial 24 horas por dia, 7 dias por semana, para vítimas de abuso doméstico e violência. Se você estiver em uma situação de emergência, ligue para 911. Coalizão contra Stalkerware tem recursos caso você ache que seu telefone foi comprometido por spyware.

Fonte: techcrunch.com

Continue lendo
Clique para comentar

Deixe sua resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

TECNOLOGIA

Alexandr Wang, da Scale AI, publicou uma carta aberta pressionando Trump para investir em IA

Alexandr Wang, CEO da Scale AI, publicou um anúncio de página inteira no The Washington Post pedindo à administração Trump que invista mais em IA.

Wang, que compareceu A posse de Trump na segunda-feira, como muitos outros CEOs de tecnologia, postado uma cópia do anúncio no X, que diz “Caro presidente Trump: a América deve vencer a guerra da IA”.

Em a carta completa publicado online, Wang explica que os EUA deveriam tomar cinco medidas amplas para vencer o que ele considera uma “guerra de IA” contra a China.

Scale, cujo negócio principal é a rotulagem e processamento de dados para projetos de IA em grandes organizações, foi valorizado em US$ 13,8 bilhões no ano passado.

Wang quer que o governo dos EUA imite os gigantes da tecnologia, gastando mais em dados e computação. Ele também recomenda que os EUA revejam os seus próprios regulamentos para garantir que haja muitos empregos relacionados com a IA no futuro.

Wang pede ainda que as agências federais estejam “prontas para IA” até 2027, lançando um plano “agressivo” para eletricidade barata que possa ser consumida por centros de dados centrados em IA, e ofereceu ideias sobre como implementar algumas medidas de segurança de IA.

A escala poderia beneficiar de pelo menos algumas destas recomendações, como um aumento nos gastos do governo dos EUA em dados. Escala já conta o governo dos EUA como cliente e é supostamente parte de planos para um consórcio de startups de defesa nos EUA.

Regulamentações mais amigáveis ​​e incentivos a empregos relacionados à IA também poderiam ajudar o Scale, já que depende fortemente de trabalhadores contratados, alguns dos quais têm recentemente entrou com ações judiciais alegando que eles foram classificados incorretamente.

Wang, no entanto, enquadrou as recomendações como parte de um esforço para manter os EUA à frente da China em IA. “Estamos num novo tipo de corrida armamentista tecnológica”, afirma sua carta. “O governo chinês está investindo em IA a um ritmo sem precedentes.”

Modelos chineses como DeepSeek foram chamando a atenção por seu forte desempenho em determinados benchmarks do setor. A carta de Wang diz que a China está agora alcançando os EUA depois de estar pelo menos um ano atrasada, comenta ecoado por outros líderes de IA.

Mas o enquadramento de Wang da competição entre EUA e China pela IA como uma “guerra” suscitou preocupação em alguns.

“Este é um enquadramento horrível – não estamos em guerra. Estamos todos juntos nisso e se transformarmos o desenvolvimento da IA ​​em uma guerra, provavelmente todos morreremos”, postou Emmett Shear, o ex-CEO do Twitch que foi brevemente CEO da OpenAI em 2023.

Ainda não se sabe como a administração Trump responderá. Até agora, a principal acção do Presidente Trump em matéria de IA tem sido revogar a Ordem Executiva sobre IA de seu antecessor, que criou orientações para as empresas ajudarem a corrigir falhas e preconceitos em seus modelos.

Fonte: techcrunch.com

Continue lendo

TECNOLOGIA

Perplexity lança Sonar, uma API para pesquisa de IA

A Perplexity lançou na terça-feira um serviço de API chamado Sonar, permitindo que empresas e desenvolvedores construam as ferramentas generativas de pesquisa de IA da startup em seus próprios aplicativos.

“Embora a maioria dos recursos generativos de IA hoje tenham respostas informadas apenas por dados de treinamento, isso limita suas capacidades”, escreveu Perplexity em um comunicado. postagem no blog. “Para otimizar a factualidade e a autoridade, as APIs exigem uma conexão em tempo real com a Internet, com respostas informadas por fontes confiáveis.”

Para começar, a Perplexity está oferecendo dois níveis que os desenvolvedores podem escolher: uma versão básica que é mais barata e rápida, Sonar, e uma versão mais cara que é melhor para questões difíceis, Sonar Pro. Perplexity diz que a API Sonar também oferece às empresas e desenvolvedores a capacidade de personalizar as fontes de onde seu mecanismo de busca de IA extrai.

Com o lançamento de sua API, a Perplexity está disponibilizando seu mecanismo de busca de IA em mais lugares do que apenas seu aplicativo e site. Perplexity diz que a Zoom, entre outras empresas, já está usando o Sonar para alimentar um assistente de IA para sua plataforma de videoconferência. O Sonar está permitindo que o chatbot AI do Zoom dê respostas em tempo real, informadas por pesquisas na web com citações, sem exigir que os usuários saiam da janela do chat de vídeo.

O Sonar também poderia dar à Perplexity outra fonte de receita, o que poderia ser particularmente importante para os investidores da startup. Perplexity oferece apenas um serviço de assinatura para acesso ilimitado ao seu mecanismo de busca de IA e alguns recursos adicionais. No entanto, a indústria de tecnologia reduziu os preços para acessar ferramentas de IA por meio de APIs no ano passado, e a Perplexity afirma estar oferecendo a API de pesquisa de IA mais barata do mercado via Sonar.

A versão básica do Sonar oferece uma versão mais barata e rápida das ferramentas de pesquisa de IA da empresa. A versão básica do Sonar tem preço fixo e usa um modelo leve. Custa US$ 5 para cada 1.000 pesquisas, mais US$ 1 para cada 750.000 palavras digitadas no modelo de IA (cerca de 1 milhão de tokens de entrada) e outro US$ 1 para cada 750.000 palavras que o modelo exprime (cerca de 1 milhão de tokens de saída).

O Sonar Pro, mais caro, fornece respostas mais detalhadas e é capaz de lidar com questões mais complexas. Esta versão executará várias pesquisas após uma solicitação do usuário, o que significa que o preço pode ser mais imprevisível. Perplexity também diz que esta versão oferece o dobro de citações que a versão base do Sonar. O Sonar Pro custa US$ 5 para cada 1.000 pesquisas, mais US$ 3 para cada 750.000 palavras digitadas no modelo de IA (aproximadamente 1 milhão de tokens de entrada) e US$ 15 para cada 750.000 palavras que o modelo exprime (aproximadamente 1 milhão de tokens de saída).

A Perplexity afirma que o Sonar Pro superou os principais modelos do Google, OpenAI e Anthropic em um benchmark que mede a correção factual nas respostas do chatbot de IA, SimpleQA.

Como informamos recentemente, a receita recorrente anual da Perplexity é algo entre US$ 5 milhões e US$ 10 milhões. Isso parece bastante saudável para uma startup do tamanho e da idade da Perplexity, mas a startup certamente está procurando novas maneiras de aumentar sua receita. A startup levantou US$ 73,6 milhões adicionais em uma rodada de financiamento no início deste mês, avaliando a empresa em cerca de US$ 520 milhões.

Fonte: techcrunch.com

Continue lendo

TECNOLOGIA

Trump visa programas de financiamento de cobrança de veículos elétricos dos quais a Tesla se beneficia

O presidente Donald Trump está a tentar travar o fluxo de financiamento para infraestruturas de carregamento de veículos elétricos de dois programas dos quais a Tesla beneficiou – o exemplo mais recente de como os interesses políticos de Elon Musk parecem estar em desacordo com o objetivo da sua empresa automóvel de promover a energia sustentável.

Não é certo que a estratégia de Trump terá sucesso. Mas se isso acontecer, a Tesla poderá ficar sem duas fontes de financiamento que a montadora utilizou nos últimos dois anos para construir sua rede de carregamento de veículos elétricos líder de mercado.

Numa das inúmeras ordens executivas que Trump assinou no primeiro dia de seu segundo mandatoele declarou que “[a]Todas as agências suspenderão imediatamente o desembolso de fundos” dos programas criados pela Lei de Redução da Inflação e pela Lei Bipartidária de Infraestrutura. Ele pede especificamente a interrupção do financiamento para estações de carregamento de EV que foram disponibilizadas por meio do Programa Fórmula Nacional de Infraestrutura de Veículos Elétricos (NEVI) e do programa de subsídios de Infraestrutura de Carregamento e Abastecimento (CFI).

Essas agências devem apresentar uma revisão de “processos, políticas e programas para emissão de subsídios, empréstimos, contratos ou quaisquer outros desembolsos financeiros” no prazo de 90 dias a partir da data desta ordem, todos os chefes de agência deverão apresentar um relatório ao Escritório de Gestão e Orçamento (OMB) e do Conselho Econômico Nacional (NEC). A ordem também afirma que as agências não podem desembolsar mais fundos, a menos que o “Diretor do OMB e o Assistente do Presidente para a Política Económica tenham determinado que tais desembolsos são consistentes com quaisquer recomendações de revisão que tenham optado por adotar”.

Musk há muito afirma que a missão da Tesla é “acelerar a transição para a energia sustentável”. Mas agora está oficialmente a trabalhar com a segunda administração Trump, que fez grandes mudanças na energia sustentável no seu primeiro dia. Trump já assinou ordens de suspensão arrendamentos federais para desenvolvimento eólico offshorepuxando o Estados Unidos fora do acordo climático de Parise está tentando reverter outras Políticas de EV da administração Biden.

A Tesla recentemente fez parte de um grupo que ganhou um prêmio de US$ 100 milhões do programa Financeiro para construir infraestrutura de carregamento para caminhões elétricos pesados ​​em Illinois, como TechCrunch relatado pela primeira vez na semana passada. A empresa esperava garantir cerca de US$ 40 milhões do pedido de financiamento original do grupo de US$ 126 milhões. A Tesla também buscou repetidamente cerca de US$ 100 milhões em financiamento financeiro para construir um corredor de carregamento de caminhões entre o norte da Califórnia e o sul do Texas, mas isso o aplicativo foi ignorado várias vezes.

O prêmio CFI da Tesla em Illinois é uma pequena parte dos quase US$ 2 bilhões que o Departamento de Transportes alocou nos últimos dois anos. A Tesla ganhou uma parcela muito maior de subsídios do programa NEVI – que distribui quantias menores de dinheiro aos estados, que, por sua vez, usam esses fundos para oferecer subsídios para construir infraestruturas de carregamento. Tesla havia vencido cerca de 13% de todos os prêmios NEVI em meados de 2024, e estava a utilizar esses milhões para desenvolver ainda mais a sua rede de Superchargers, que agora está aberta a quase todos os VE concorrentes.

Trump poderia retardar ou interromper o fluxo de gastos futuros desses programas, de acordo com Martin Lockman, pesquisador do Centro Sabin para Legislação sobre Mudanças Climáticas da Faculdade de Direito de Columbia. Ele poderá fazê-lo especialmente se a sua administração for bem-sucedida na prometida luta legal. sobre a Lei de Controle de Represamentoo que limita a capacidade do presidente de impedir o Congresso de gastar dinheiro que foi apropriado.

“Há muita margem de manobra aqui, e a administração Trump certamente fará tudo o que puder para atrasar os gastos no âmbito desses projetos de lei”, disse ele.

No entanto, não está claro se Trump pode legalmente impedir o financiamento de prémios que já estão sob contrato.

“As pessoas que têm contratos hoje têm direitos sob esses contratos e o Presidente não pode retirá-los”, disse ele.

Mas, advertiu Lockman, se as agências sentirem pressão suficiente de Trump, poderão violar os termos desses contratos – e potencialmente as leis que estabeleceram os programas de financiamento em primeiro lugar – e recusar-se a distribuir o dinheiro. Nessa situação, as empresas, agências estaduais e locais, ou outras entidades que ganhassem prêmios do NEVI ou do CFI teriam que lutar para que eles fossem cumpridos.

“Se a nova administração quiser fazer com que as pessoas lutem pelos seus contratos em tribunal, isso certamente seria uma enorme barreira à construção de infraestruturas de veículos elétricos”, disse ele.

Fonte: techcrunch.com

Continue lendo

Top

Social Media Auto Publish Powered By : XYZScripts.com