Федеральна торгова комісія США (FTC) відмовила у скасуванні заборони на діяльність у сфері розробки шпигунського програмного забезпечення для Скотта Цукермана — засновника компанії Support King та її підрозділів SpyFone і OneClickMonitor. Це рішення залишає чинним попередній наказ, що назавжди позбавляє Цукермана права продавати, пропонувати чи рекламувати подібні сервіси після масштабного витоку персональних даних клієнтів та жертв спостереження.
Про це розповідає ProIT
Причини остаточної заборони та наслідки для Цукермана
У 2021 році FTC офіційно заборонила Цукерману займатися будь-якою діяльністю, пов’язаною із розповсюдженням шпигунських програм, а також зобов’язала його знищити всі дані, зібрані через застосунок SpyFone. Крім того, йому було наказано впровадити додаткові заходи кібербезпеки та регулярно проходити незалежні аудити. Підстава для такого рішення — витік у 2018 році, коли дослідник безпеки виявив незахищене сховище Amazon S3, що належало SpyFone, із відкритим доступом до особистих даних користувачів, зокрема: селфі, текстових повідомлень, чатів, аудіозаписів, контактів, місцеперебування, хешованих паролів та логінів.
Виявлений витік містив 44 109 унікальних електронних адрес, а також інформацію про щонайменше 2 208 активних клієнтів і сотні тисяч фотографій та аудіо з 3 666 пристроїв, на яких було встановлено SpyFone.
“SpyFone — зухвала торгова марка для бізнесу із надання послуг стеження, який допомагав переслідувачам отримувати приватну інформацію”, — заявив Семюел Левін, виконувач обов’язків директора Бюро захисту прав споживачів FTC. “Шпигунське ПЗ було приховане від власників пристроїв, однак повністю відкритим для хакерів, які скористалися недосконалим захистом компанії”.
Спроби обходу заборони та реакція експертів
Після того як FTC оголосила про заборону, ЗМІ повідомляли, що Цукерман намагався повернутися на ринок під іншими брендами. У 2022 році було оприлюднено дані про застосунок SpyTrac, яким керували розробники, безпосередньо пов’язані із Support King. У злитих даних містилась інформація, яку Цукерман мав знищити згідно з вимогами FTC, а також ключі доступу до хмарного сховища ще одного його продукту — OneClickMonitor. Це виглядало як спроба обійти заборону регулятора.
У своїй петиції до FTC Цукерман заявляв, що нові вимоги до безпеки ускладнили йому ведення іншого бізнесу через фінансові витрати, хоча Support King офіційно припинила роботу, а сам підприємець наразі займається ресторанною справою та планує туристичні проєкти у Пуерто-Рико.
Експертка з питань шпигунського ПЗ Єва Гальперін позитивно оцінила рішення FTC. Вона підкреслила, що Цукерман, ймовірно, сподівався, що з часом про його дії забудуть, але нові відкриття засвідчують протилежне. За її словами, оприлюднена у 2022 році інформація про можливі порушення ним наказу FTC свідчить про відсутність належних висновків із попередніх інцидентів.
Загалом за останні вісім років принаймні 26 компаній, що розробляють stalkerware, ставали жертвами зламів або залишали персональні дані у відкритому доступі. Такі випадки вкотре доводять, що подібні бізнеси системно нехтують захистом приватності користувачів і людей, за якими ведеться стеження.
