Casus yazılım platformu Cocospy ile bağlantılı büyük bir gizlilik ihlali, Avrupa’da bir ünlüye ait on binlerce son derece hassas ekran görüntüsünü ortaya çıkararak, takip yazılımı ve yanlış yapılandırılmış bulut depolama ile bağlantılı devam eden riskleri ortaya koydu.
Güvenlik araştırmacısı Jeremiah Fowler, kurbanın özel dijital faaliyetlerini belgeleyen yaklaşık 86.000–90.000 görüntü içeren güvensiz bir çevrimiçi veritabanı keşfetti. Depo, kimlik doğrulaması olmadan halka açık bir şekilde erişilebilir hale gelebiliyordu ve doğrudan bağlantısı olan herkes verileri görebiliyordu.
Ortaya çıkan dosyalar arasında mağdurun akıllı telefonundan toplanan kişisel mesajlar, fotoğraflar ve uygulama aktivitelerinin ekran görüntüleri yer alıyordu. Analize göre, veriler WhatsApp, Instagram, Facebook ve TikTok dahil olmak üzere birden fazla platformu kapsayarak iletişim ve etkileşimlerin neredeyse eksiksiz bir kaydını sunuyor.
Araştırmacılar, veri setinin genellikle ebeveyn izleme yazılımı olarak pazarlanan ancak gizli takip yetenekleri nedeniyle yaygın olarak stalkerware olarak sınıflandırılan bir gözetim aracı olan Cocospy kullanılarak oluşturulmuş gibi göründüğünü söylüyor. Yazılım, ekran görüntüleri, mesajlar ve diğer cihaz aktivitelerini yakalayıp bunları uzak bulut panellerine yükleyebilir.
Sızıntı tek bir bireyin ötesine geçti. Ekran görüntüleri, influencerlar, iş bağlantıları ve diğer kamu figürleriyle yapılan konuşmaları içeriyordu, yani birden fazla taraf dolaylı olarak açığa çıktı. Bazı dosyalarda telefon numaraları, e-posta adresleri, faturalar ve kısmi finansal veriler bulunuyordu; bu da dolandırıcılık veya hedefli saldırı riskini artırdı.
Etkilenen kişi kamuoyuna açıklanmadı ve araştırmacı, daha fazla zararı sınırlamak için tanımlama bilgilerini vermedi. Ancak, verilerin ölçeği ve hassasiyeti, casus yazılım dağıtımlarının özellikle depolama sistemleri yanlış güvence altına alındığında zincirleme gizlilik riskleri yaratabileceğini vurgular.
Uzmanlar, bu tür bir maruziyetin casus yazılım mağdurları için “en kötü senaryo” olduğunu belirtiyor. Kişisel veriler sadece izinsiz toplanmakla kalmaz, aynı zamanda altyapı yanlış yapılandırılırsa veya tehlikeye atılırsa sızdırılabilir veya üçüncü taraflar tarafından erişilebilir.
Bu olay ayrıca takip yazılımı ekosisteminde daha geniş bir sorunu da ortaya koyuyor. Bu araçlar genellikle toplanan verileri yönetmek için merkezi bulut depolamaya dayanır ve zayıf güvenlik kontrolleri tüm veri setlerini açığa çıkarabilir. Önceki araştırmalar, benzer uygulamaların kötü yapılandırma ve güvenlik önlemlerinin eksikliği nedeniyle milyonlarca kayıt sızdırdığını ortaya koymuştu.
Veritabanı o zamandan beri güvence altına alınmış olsa da, verilerin ne kadar süre halka açık olduğu veya yetkili kişiler tarafından erişilip erişilmediği henüz belirsiz. Bu dava, meşru izleme yazılımı kılığında çalışan casus yazılım araçlarının yasallığı, etik ve güvenliği konusundaki devam eden endişeleri pekiştiriyor.