Вашим iCloud теперь распоряжается парень из Китая. И он даже не позаботился о безопасности

Журналист Майя Арсон Кримив в своём блоге заявила, что почти 2 года назад, в феврале 2024 года, к ней обратились с наводкой. В открытом доступе оказался отчетный инструмент, в котором хранилась подробная история всех покупок пользователей сразу трех сервисов слежки: SpyX, MSafely и SpyPhone. Тогда до этой информации просто не дошли руки, но позже, на фоне расследования другой утечки, к этим данным все же вернулись. И оказалось, что за неприметными сервисами скрывается куда более масштабная индустрия.

Как выяснилось, операторы сталкерского ПО часто регистрируются в сервисах конкурентов, чтобы изучать их возможности или напрямую копировать функции. Поэтому появление почтового адреса SpyX в базе поддержки другого шпионского сервиса выглядело логично. Из документов следовало, что человек, связанный с SpyX, оформил подписку, потребовал возврат средств, а затем попытался оспорить платеж, заявив о мошенничестве с банковской картой. В ответ компания представила платежному провайдеру подробное досье, где, несмотря на частичную маскировку, сохранились имя владельца карты и название банка. Эти данные стали первой ниточкой, ведущей к реальным людям за сервисом.

Страницы контактов SpyX указывали на компании, зарегистрированные в Гонконге и Великобритании, обе под брендом Gbyte Technology. В британских документах в числе руководителей значился Сюнде Чэн. Поиск по китайскому названию компании вывел на корпоративный сайт Gbyte и страницу на платформе по поиску работы BOSS Zhipin. Там же обнаружились фотографии офиса в городе Шэньчжэнь, включая панорамный снимок интерьера.

Из этих источников стало ясно, что Gbyte была основана в 2022 году и с самого начала ориентировалась на зарубежный рынок, продвигая инструменты для мобильной криминалистики. Компания заявляла о планах выйти на IPO в течение 5–10 лет и хвасталась тем, что около 50% сотрудников заняты исследованиями и разработкой, в том числе совместно с университетами.

Позже удалось получить не только заказы пользователей, но и полные базы аккаунтов, данные жертв и даже пароли в открытом виде, включая учетные данные iCloud и Google. Защита фактически отсутствовала: достаточно было знать, к каким API обращаться. Более того, одна из ошибок давала полный доступ к административной панели сталкерского ПО.

Именно в таких утечках чаще всего и находятся сами создатели шпионских сервисов. В массивах данных обнаружились электронные адреса, которые удалось связать с Сюнде Чэном. Проверка через OSINT-инструменты позволила собрать его профиль. Чэн, также известный как Joen Chen, родился в феврале 1988 года, живет в Шэньчжэне и имеет диплом по компьютерным наукам Пекинского транспортного университета. До основания Gbyte он работал главным архитектором безопасности в Wondershare и занимался реверс-инжинирингом мобильных платформ. Именно там, по сути, были заложены технологии, на которых позже выросли сервисы SpyX.

Еще во время работы в Wondershare Чэн нашел способы обходить механизмы защиты iCloud и сервисов Google, получая доступ к данным, синхронизированным в облаке, всего лишь по логину и паролю пользователя. Эти методы используются SpyX для удаленного шпионажа за устройствами на iOS и Android. При этом сервис способен работать даже с аккаунтами, где включена двухфакторная аутентификация, что сегодня уже недоступно большинству конкурентов.

Дополнительный риск заключается в том, что пользователям разрешено регистрироваться в сервисах Gbyte через аккаунты Google. Около 60% всех учетных записей создавались именно так. В случае блокировки этой интеграции со стороны Google сервисы мгновенно потеряли бы значительную часть аудитории.

По опубликованным данным можно предположить, что в Gbyte работает не менее 20 человек. При этом выручка от сталкерского ПО за все время оценивается примерно в 500 000 долларов. Этой суммы вряд ли достаточно для устойчивой работы компании такого размера, что намекает на наличие других источников дохода.

И действительно, в административной панели нашелся еще один сюрприз: открытый GitHub API-ключ. Он дал доступ к исходным кодам не только сталкерских сервисов, но и целого набора других проектов. Среди них приложение для подмены GPS-локации, сервисы по прокачке персонажей в MMO-играх, магазин внутриигровой валюты для Elden Ring, инструмент на базе ИИ для копирайтинга и поддержки клиентов, а также инструменты для восстановления данных устройств на китайском и зарубежном рынках. В общей сложности сталкерские сервисы Gbyte насчитывают около 1,5 млн зарегистрированных пользователей.

Хотя часть кода, связанная с доступом к облачным данным Apple и Google, осталась за пределами утечки, даже доступные фрагменты оказались полны уязвимостей. Для многих сервисов были открыты данные о заказах, пользователях и устройствах, включая адреса электронной почты, пароли в открытом виде, реальные имена и местоположение.

Перед публикацией расследования компания Gbyte и Сюнде Чэн получили уведомление обо всех найденных проблемах, но на запросы не ответили и уязвимости так и не устранили. Часть данных ранее уже попала в базу сервиса Have I Been Pwned из-за недоразумения с эмбарго, а отдельные эпизоды утечки освещались в СМИ. Обновленные наборы данных будут переданы Apple и Google, а также исследователям и журналистам по запросу.