Stalkerware

TechCrunch relate qu’un hacktiviste a publié sur un forum de hacking des données de paiement massives issues d’un fournisseur de stalkerware, après avoir exploité un bug « trivial » permettant d’accéder aux informations clients sans mot de passe. Les données divulguées portent sur environ 536 000 lignes et comprennent des adresses e‑mail, l’app/brand acheté, le montant payé, le type de carte (Visa/Mastercard) et les quatre derniers chiffres de la carte 💳. Aucun date de paiement n’apparaît. Les transactions concernent des services de téléphone-espion comme Geofinder et uMobix, ainsi que Peekviewer (ex‑Glassagram) pour l’accès à des comptes Instagram privés, et Xnspy. ...

Selon Clubic, s’appuyant sur une enquête de 404 Media, TikTok Shop héberge des vendeurs de traqueurs GPS ressemblant à des AirTags, promus explicitement pour l’espionnage conjugal et la surveillance secrète. Des vidéos virales (plusieurs millions de vues) encouragent à « coller » ces dispositifs sur la voiture d’un partenaire, en présentant les traqueurs comme indétectables et offrant une surveillance mondiale via carte SIM intégrée. Les métriques de TikTok Shop indiquent des ventes importantes : l’un des modèles dépasse 32 500 unités, un autre approche 100 000. Des commentaires rapportent des usages abusifs (pose sur des voitures de femmes à la salle de sport), parfois validés par des réponses désinvoltes des vendeurs. ...

L’article de TechCrunch rapporte une vulnérabilité de sécurité dans l’application de spyware Catwatchful, qui a conduit à l’exposition des données de milliers de clients et de victimes. Catwatchful, un logiciel espion déguisé en application de surveillance parentale, a vu sa base de données compromise, révélant les adresses e-mail et les mots de passe en clair de plus de 62 000 clients, ainsi que les données de 26 000 appareils de victimes. Ce spyware, qui se prétend indétectable, collecte des informations privées telles que des photos, des messages et des données de localisation en temps réel. ...