Saldırıya uğradı, sızdırıldı, açığa çıktı: Takip yazılımı uygulamalarını neden asla kullanmamalısınız?

Ailelerini izlemek ve casusluk yapmak isteyen insanlar için tamamen karanlık bir endüstri var. Birçok uygulama üreticisi, bazen takip yazılımı olarak da adlandırılan yazılımlarını, kurbanlarının telefonlarına uzaktan erişmek için bu uygulamaları kullanabilen kıskanç ortaklara pazarlıyor.

Ancak bu veriler ne kadar hassas olsa da giderek artan sayıda şirket büyük miktarlarda veri kaybediyor.

TechCrunch’ın mSpy’daki son saldırıları da hesaba katan çetelesine göre, 2017’den bu yana saldırıya uğradığı veya müşteri ve kurbanların verilerini çevrimiçi olarak sızdırdığı bilinen en az 20 takip yazılımı şirketi var. Bu bir yazım hatası değil: Son yıllarda yirmi takip yazılımı şirketi ya saldırıya uğradı ya da önemli miktarda veri açığa çıktı. Ve dört takip yazılımı şirketi birden çok kez saldırıya uğradı.

Yalnızca 2024 yılında en az iki büyük stalkerware saldırısı yaşandı. En son ihlal, en uzun süredir devam eden takip yazılımı uygulamalarından biri olan mSpy’ı etkiledi ve milyonlarca müşterisinin kişisel verilerini içeren milyonlarca müşteri destek bildirimini açığa çıkardı.

Daha önce bilinmeyen bir bilgisayar korsanı, ABD merkezli stalkerware üreticisi pcTattletale’in sunucularına sızmıştı. Bilgisayar korsanı daha sonra şirketin dahili verilerini çaldı ve sızdırdı. Ayrıca şirketi utandırmak amacıyla pcTattletale’in resmi web sitesini de tahrif ettiler. Bilgisayar korsanı, pcTattletale’in ABD’deki bir otel zincirindeki birkaç ön büro check-in bilgisayarını izlemek için kullanıldığını bildirdiğimiz yakın tarihli bir TechCrunch makalesine atıfta bulundu.

Bu hack, sızıntı ve utanç operasyonu sonucunda pcTattletale kurucusu Bryan Fleming, şirketini kapatacağını söyledi.

mSpy ve pcTattletale gibi tüketici casus yazılım uygulamalarına genellikle “takip yazılımı” (veya eş yazılımı) adı verilir çünkü kıskanç eşler ve partnerler bunları sevdiklerini gizlice izlemek ve gözetlemek için kullanır. Bu şirketler genellikle yasa dışı ve etik olmayan davranışları teşvik ederek hile yapan ortakları yakalamaya yönelik çözümler olarak ürünlerini açıkça pazarlamaktadır. Ayrıca, çevrimiçi takip ve izlemenin gerçek dünyada zarar ve şiddet vakalarına yol açabileceğini gösteren çok sayıda dava, gazetecilik soruşturması ve aile içi şiddet barınaklarında yapılan anketler var.

İşte bu yüzden bilgisayar korsanları bu şirketlerin bazılarını defalarca hedef aldı.

Electronic Frontier Foundation’ın siber güvenlik direktörü ve yıllardır stalkerware’i araştıran ve bunlarla mücadele eden önde gelen araştırmacı ve aktivist Eva Galerpin, stalkerware sektörünün “yumuşak bir hedef” olduğunu söyledi.

Galperin, TechCrunch’a “Bu şirketleri yöneten insanlar belki de ürünlerinin kalitesi konusunda en titiz veya gerçekten endişeli kişiler değiller” dedi.

Takip yazılımı ihlallerinin geçmişi göz önüne alındığında, bu yetersiz bir ifade olabilir. Ve kendi müşterilerini ve dolayısıyla farkında olmayan onbinlerce mağdurun kişisel verilerini koruma konusundaki özen eksikliği nedeniyle, bu uygulamaları kullanmak iki kat sorumsuzluktur. Takip yazılımı müşterileri kanunları çiğniyor, ortaklarını yasa dışı bir şekilde gözetleyerek suiistimal ediyor ve buna ek olarak herkesin verilerini tehlikeye atıyor olabilir.

Takip yazılımı saldırılarının geçmişi

Takip yazılımı ihlalleri dalgası, 2017 yılında bir grup bilgisayar korsanının ABD merkezli Retina-X ve Tayland merkezli FlexiSpy yazılımlarını arka arkaya ihlal etmesiyle başladı. Bu iki hack, şirketlerin dünya çapında toplam 130.000 müşteriye sahip olduğunu ortaya çıkardı.

O zamanlar, uzlaşmaların sorumluluğunu gururla üstlenen bilgisayar korsanları, motivasyonlarının toksik ve etik dışı olduğunu düşündükleri bir sektörü açığa çıkarmak ve yok edilmesine yardımcı olmak olduğunu açıkça belirtmişlerdi.

Olaya karışan bilgisayar korsanlarından biri Motherboard’a “Onları yakacağım ve hiçbirinin saklanabileceği hiçbir yer bırakmayacağım” dedi.

Bilgisayar korsanı, FlexiSpy’a atıfta bulunarak şunları ekledi: “Umarım dağılırlar, şirket olarak başarısız olurlar ve yaptıkları üzerine düşünmek için biraz zamanları olur. Ancak, kendilerini yeni bir biçimde yeniden doğurmaya çalışmalarından korkuyorum. Ama eğer yaparlarsa, orada olacağım.

Saldırıya ve kamuoyunun yıllarca olumsuz ilgisine rağmen FlexiSpy bugün hala aktif. Aynı şey Retina-X için söylenemez.

Retina-X’e sızan bilgisayar korsanı, operasyonlarını engellemek amacıyla sunucularını sildi. Şirket toparlandı ve bir yıl sonra tekrar saldırıya uğradı. İkinci ihlalden birkaç hafta sonra Retina-X kapatılacağını duyurdu.

İkinci Retina-X ihlalinden sadece birkaç gün sonra, bilgisayar korsanları Mobistealth ve Spy Master Pro’yu vurarak gigabaytlarca müşteri ve iş kaydının yanı sıra kurbanların ele geçirilen mesajlarını ve kesin GPS konumlarını çaldılar. Başka bir takip yazılımı satıcısı olan Hindistan merkezli SpyHuman da birkaç ay sonra aynı kaderle karşılaştı; bilgisayar korsanları kısa mesajları ve kimin kimi, ne zaman aradığına ilişkin günlükleri içeren çağrı meta verilerini çaldı.

Haftalar sonra, hack yerine kazara verilerin açığa çıktığı ilk vaka yaşandı. SpyFone, Amazon tarafından barındırılan bir S3 depolama grubunu çevrimiçi olarak korunmasız bıraktı; bu, herkesin kısa mesajları, fotoğrafları, ses kayıtlarını, kişileri, konumu, şifreli şifreleri ve oturum açma bilgilerini, Facebook mesajlarını ve daha fazlasını görebileceği ve indirebileceği anlamına geliyordu. Tüm bu veriler, bırakın en hassas kişisel verilerinin internette herkesin görebileceği şekilde bulunduğunu bilmek bir yana, çoğu casusluklandıklarını bile bilmeyen kurbanlardan çalındı.

Yıllar boyunca müşterilerinin ve kurbanlarının verilerini sorumsuzca çevrimiçi bırakan diğer takip yazılımı şirketleri arasında 281 gigabaytlık kişisel veriyi çevrimiçi olarak yalnızca bulunması kolay bir şifreyle korunan halde bırakan FamilyOrbit; 2018 yılında 2 milyondan fazla müşteri kaydını sızdıran mSpy; Müşterilerinden herhangi birinin, diğer müşterilerin hedeflerinin sohbet mesajları, GPS koordinatları, e-postalar, fotoğraflar ve daha fazlasını içeren kişisel verilerini görmesine olanak tanıyan Xnore; 25.000 ses kaydını ve 95.000 görüntüyü herkesin erişebileceği bir sunucuya bırakan Mobiispy; Kurbanların içeriğini sızdıran yanlış yapılandırılmış bir sunucuya sahip olan KidsGuard; hacklenmeden önce kurbanların cihazlarının gerçek zamanlı olarak herkesin erişebileceği bir web sitesine yüklenen ekran görüntülerini açığa çıkaran pcTattletale; ve geliştiricilerinin kimlik bilgilerini ve özel anahtarları uygulamanın kodunda bırakarak herkesin kurbanların verilerine erişmesine olanak tanıyan Xnspy.

Gerçekten saldırıya uğrayan diğer takip yazılımı şirketlerine gelince, bir bilgisayar korsanının kısa mesajlar ve WhatsApp mesajları, çağrı kayıtları, fotoğraflar, kişiler ve kaş geçmişi dahil olmak üzere tüm gözetleme hedeflerinin verilerini çaldığını gören Copy9 vardı; Bilgisayar korsanlarının sunucularına saldırıp silmesinden sonra kapanan LetMeSpy; sunucularını silip tekrar hackleyen Brezilya merkezli WebDetetive; WebDetetive için arka uç yazılımın çoğunu sağlayan OwnSpy da saldırıya uğradı; Kodunda, bir bilgisayar korsanının arka uç veritabanlarına erişmesine ve yıllar boyunca yaklaşık 60.000 kurbanın verilerinin çalınmasına olanak tanıyan bir güvenlik açığı bulunan Spyhide; Spyhide’ın yeniden markası olan Oospy ikinci kez kapatıldı; ve daha önce bahsedilen sızıntıyla ilgisi olmayan en son mSpy hack’i.

Son olarak, en az üç ayrı olayda saldırıya uğrama veya veri sızdırma konusunda şüpheli kayıtlara sahip olan, takip yazılımı uygulamalarından oluşan bir ağ olan TheTruthSpy var.

Saldırıya uğradı ama pişman olmadı

TechCrunch’ın çetelesine göre bu 20 takip yazılımı şirketinden sekizi kapandı.

İlk ve şimdiye kadar benzersiz bir olayda, Federal Ticaret Komisyonu, SpyFone ve onun genel müdürü Scott Zuckerman’ın, kurbanların verilerini açığa çıkaran daha önceki bir güvenlik açığının ardından gözetim sektöründe faaliyet göstermesini yasakladı. Zuckerman’la bağlantılı SpyTrac adlı başka bir takip yazılımı operasyonu, TechCrunch soruşturmasının ardından daha sonra kapatıldı.

Saldırıya uğradığı bilinmeyen diğer iki şirket olan PhoneSpector ve Highster da, New York başsavcısının, şirketleri, yazılımlarını yasa dışı gözetleme amacıyla açıkça müşterilerini kullanmaya teşvik etmekle suçlamasının ardından kapandı.

Ancak bir şirketin kapanması sonsuza kadar yok olacağı anlamına gelmez. Spyhide ve SpyFone’da olduğu gibi, kepenkli takip yazılımı üreticisinin arkasındaki aynı sahiplerden ve geliştiricilerden bazıları, basitçe yeniden markalaştı.

“Bu hacklerin bir şeyler yaptığını düşünüyorum. Galperin, “Bir şeyler başarıyorlar, onlara zarar veriyorlar” dedi. “Fakat eğer bir takip yazılımı şirketini hacklerseniz, sadece yumruklarını sallayacaklarını, adınıza küfredeceklerini, mavi bir duman bulutu içinde kaybolacaklarını ve bir daha asla görülmeyeceklerini düşünüyorsanız, durum kesinlikle böyle değildir.”

Galperin, “Bir takip yazılımı şirketini gerçekten öldürmeyi başardığınızda, çoğu zaman olan şey, takip yazılımı şirketinin yağmurdan sonra mantar gibi ortaya çıkmasıdır” diye ekledi.

Bazı iyi haberler var. Geçen yıl yayınlanan bir raporda güvenlik firması Malwarebytes, bu tür yazılımlardan etkilenen müşterilere ilişkin kendi verilerine göre, stalkerware kullanımının azaldığını belirtmişti. Ayrıca Galperin, bu uygulamalara yönelik olumsuz incelemelerde bir artış görüldüğünü, müşterilerin veya potansiyel müşterilerin bu uygulamaların amaçlandığı gibi çalışmadığından şikayet ettiğini bildiriyor.

Ancak Galperin, güvenlik firmalarının taciz yazılımlarını tespit etmede eskisi kadar iyi olmamalarının veya tacizcilerin yazılım tabanlı gözetimden AirTags ve diğer Bluetooth özellikli takip cihazlarının etkinleştirdiği fiziksel gözetime geçmelerinin mümkün olduğunu söyledi.

“Stalkerware boşlukta var olmaz. Stalkerware, teknolojinin etkin olduğu kötüye kullanım dünyasının bir parçasıdır” dedi Galperin.

Takip yazılımlarına hayır deyin

Sevdiklerinizi izlemek için casus yazılım kullanmak yalnızca etik dışı olmakla kalmaz, aynı zamanda yasa dışı gözetleme olarak kabul edildiğinden çoğu yargı bölgesinde yasa dışıdır.

Bu zaten stalkerware kullanmamak için önemli bir neden. Ayrıca, takip yazılımı üreticilerinin, ne müşterilere, ne kurbanlara ne de hedeflere ait olan verileri güvende tutamadıklarını defalarca kanıtladıkları bir sorun var.

Bazı insanlar romantik partnerleri ve eşlerini gözetlemenin yanı sıra çocuklarını izlemek için de stalkerware uygulamaları kullanıyor. Bu tür bir kullanım, en azından Amerika Birleşik Devletleri’nde yasal olsa da, bu, çocuklarınızın telefonunu gözetlemek için stalker yazılımı kullanmanın ürkütücü ve etik dışı olmadığı anlamına gelmez.

Galperin, yasal olsa bile ebeveynlerin çocukları hakkında onlara haber vermeden ve onların rızası olmadan casusluk yapmaması gerektiğini düşünüyor.

Ebeveynler çocuklarını bilgilendirip onay verirlerse, ebeveynler güvenli olmayan ve güvenilmez takip yazılımı uygulamalarından uzak durmalı ve Apple telefonlarda, tabletlerde ve Android cihazlarda yerleşik olan daha güvenli ve açık bir şekilde çalışan ebeveyn izleme araçlarını kullanmalıdır.

16 Temmuz’da, ihlal edilen en son casus yazılım olarak mSpy’ı içerecek şekilde güncellendi.

Siz veya tanıdığınız birinin yardıma ihtiyacı varsa, Ulusal Aile İçi Şiddet Yardım Hattı (1-800-799-7233), aile içi şiddet ve şiddet mağdurlarına 7/24 ücretsiz, gizli destek sağlar. Acil bir durumdaysanız 911’i arayın. Stalkerware’e Karşı Koalisyon Telefonunuzun casus yazılım tarafından ele geçirildiğini düşünüyorsanız kaynaklara sahiptir.