Kerentanan kritis di TheTruthSpy memungkinkan pengambilalihan akun dan pencurian data pribadi korban.
Kerentanan Keamanan di TheTruthSpy
Sebuah celah keamanan baru ditemukan di spyware ponsel TheTruthSpy, yang memungkinkan siapa saja mengambil alih akun pengguna dan mencuri data pribadi korban. Peneliti keamanan independen Swarang Wade menemukan bahwa siapa pun dapat mereset kata sandi pengguna aplikasi stalkerware ini, sehingga memungkinkan pembajakan akun di platform tersebut. Mengingat sifat dari TheTruthSpy, banyak pelanggan yang mungkin mengoperasikannya tanpa sepengetahuan target mereka, yang tidak menyadari bahwa data ponsel mereka sedang disedot ke pihak lain.
Masalah mendasar ini menunjukkan sekali lagi bahwa pembuat spyware konsumen seperti TheTruthSpy dan banyak pesaingnya tidak dapat dipercaya dengan data siapa pun. Aplikasi pengawasan ini tidak hanya memfasilitasi mata-mata ilegal, seringkali oleh pasangan romantis yang abusif, tetapi juga memiliki praktik keamanan yang buruk yang mengekspos data pribadi korban dan pelaku.
Sejarah Panjang Keamanan Buruk
Sejauh ini, TechCrunch telah menghitung setidaknya 26 operasi spyware yang telah membocorkan, mengekspos, atau menumpahkan data dalam beberapa tahun terakhir. Ini setidaknya adalah keempat kalinya TheTruthSpy mengalami kebocoran keamanan. TechCrunch memverifikasi kerentanan ini dengan memberikan peneliti nama pengguna dari beberapa akun uji. Peneliti dengan cepat mengubah kata sandi pada akun-akun tersebut.
Wade mencoba menghubungi pemilik TheTruthSpy untuk memberi tahu tentang celah ini, tetapi tidak mendapat tanggapan. Ketika dihubungi oleh TechCrunch, direktur operasi spyware Van (Vardy) Thieu mengatakan bahwa kode sumbernya 'hilang' dan dia tidak dapat memperbaiki bug tersebut. Hingga publikasi, kerentanan ini masih ada dan menimbulkan risiko signifikan bagi ribuan orang yang ponselnya diyakini telah dikompromikan oleh spyware TheTruthSpy.
Mengingat risiko bagi publik, kami tidak menjelaskan kerentanan ini secara lebih rinci agar tidak membantu aktor jahat. Sebuah sejarah singkat tentang banyaknya celah keamanan TheTruthSpy: TheTruthSpy adalah operasi spyware produktif yang berakar hampir satu dekade lalu. Untuk sementara waktu, jaringan spyware ini adalah salah satu operasi pengawasan ponsel terbesar yang dikenal di web.
TheTruthSpy dikembangkan oleh 1Byte Software, pembuat spyware berbasis di Vietnam yang dijalankan oleh Thieu, direktur mereka. TheTruthSpy adalah salah satu dari sekumpulan aplikasi spyware Android yang hampir identik dengan merek berbeda, termasuk Copy9, dan merek yang sudah tidak ada lagi seperti iSpyoo, MxSpy, dan lainnya. Aplikasi spyware ini berbagi dasbor back-end yang sama yang digunakan pelanggan TheTruthSpy untuk mengakses data ponsel yang dicuri dari korban mereka.
Bagian dari penyelidikan industri stalkerware pada tahun 2021, TechCrunch menemukan bahwa TheTruthSpy memiliki bug keamanan yang mengekspos data pribadi dari 400.000 korban kepada siapa saja di internet. Data yang terekspos termasuk informasi paling pribadi korban, termasuk pesan pribadi mereka, foto, log panggilan, dan data lokasi historis mereka.
TechCrunch kemudian menerima cache file dari server TheTruthSpy, mengekspos cara kerja internal operasi spyware tersebut. File-file tersebut juga berisi daftar setiap perangkat Android yang dikompromikan oleh TheTruthSpy atau salah satu aplikasi pendampingnya. Meskipun daftar perangkat tidak mengandung informasi yang cukup untuk mengidentifikasi setiap korban secara pribadi, itu memungkinkan TechCrunch membangun alat pencarian spyware untuk setiap korban potensial untuk memeriksa apakah ponsel mereka ditemukan dalam daftar.
Pelaporan kami selanjutnya, berdasarkan ratusan dokumen bocor dari server 1Byte yang dikirim ke TechCrunch, mengungkapkan bahwa TheTruthSpy mengandalkan operasi pencucian uang besar-besaran yang menggunakan dokumen palsu dan identitas palsu untuk menghindari pembatasan yang diberlakukan oleh pemroses kartu kredit pada operasi spyware. Skema ini memungkinkan TheTruthSpy untuk menyalurkan jutaan dolar pembayaran pelanggan ilegal ke rekening bank di seluruh dunia yang dikendalikan oleh operatornya.
Pada akhir 2023, TheTruthSpy mengalami kebocoran data lain, mengekspos data pribadi pada 50.000 korban baru. TechCrunch dikirimkan salinan data ini, dan kami menambahkan catatan yang diperbarui ke alat pencarian kami.
TheTruthSpy, masih mengekspos data, berganti nama menjadi PhoneParental: Seperti yang ada, beberapa operasi TheTruthSpy dihentikan, dan bagian lainnya berganti nama untuk menghindari pengawasan reputasi. TheTruthSpy masih ada hingga hari ini, dan telah mempertahankan banyak kode sumber yang bermasalah dan dasbor back-end yang rentan sambil berganti nama menjadi aplikasi spyware baru yang disebut PhoneParental.
Thieu terus terlibat dalam pengembangan perangkat lunak pemantauan ponsel, serta fasilitasi pengawasan yang sedang berlangsung. Menurut analisis terbaru dari infrastruktur web-facing TheTruthSpy saat ini menggunakan catatan internet publik, operasi ini terus mengandalkan tumpukan perangkat lunak yang dikembangkan oleh Thieu yang disebut JFramework (sebelumnya dikenal sebagai Jexpa Framework), yang TheTruthSpy dan aplikasi spyware lainnya andalkan untuk berbagi data kembali ke servernya.
Dalam email, Thieu mengatakan dia sedang membangun kembali aplikasi dari awal, termasuk aplikasi pemantauan ponsel baru yang disebut MyPhones.app. Tes analisis jaringan yang dilakukan oleh TechCrunch menunjukkan MyPhones.app mengandalkan JFramework untuk operasi back-end-nya, sistem yang sama yang digunakan oleh TheTruthSpy.
TechCrunch memiliki penjelasan tentang cara mengidentifikasi dan menghapus stalkerware dari ponsel Anda. TheTruthSpy, seperti operator stalkerware lainnya, tetap menjadi ancaman bagi korban yang ponselnya dikompromikan oleh aplikasinya, tidak hanya karena data yang sangat sensitif yang mereka curi, tetapi karena operasi ini terus membuktikan bahwa mereka tidak dapat menjaga data korban mereka tetap aman.
Jika Anda atau seseorang yang Anda kenal membutuhkan bantuan, Hotline Kekerasan Domestik Nasional (1-800-799-7233) menyediakan dukungan gratis dan rahasia 24/7 untuk korban pelecehan dan kekerasan domestik. Jika Anda berada dalam situasi darurat, hubungi 911. Koalisi Melawan Stalkerware memiliki sumber daya jika Anda berpikir ponsel Anda telah dikompromikan oleh spyware.
Artikel Terkait
