【编者按】在这个数字时代，隐私安全已成为每个人心头的一根刺。最近，一起黑客事件再次敲响了警钟：一款名为“跟踪软件”的手机监控应用供应商被曝出安全漏洞，超过50万条支付记录遭泄露，涉及大量用户的邮箱和部分支付信息。这些软件常被用于非法监视他人，而此次事件不仅暴露了监控者的行径，更揭示了监控软件自身的安全隐患。从Geofinder到uMobix，再到Peekviewer，这些应用背后的乌克兰公司Struktura及其关联企业Ersten Group，正因草率的网络安全措施沦为笑柄。数据泄露的受害者往往是被监控的普通人，而这次，连监控者自己的信息也“裸奔”在了网上。这起事件提醒我们：在数字世界里，没有谁是绝对安全的，而那些试图窥探他人隐私的人，最终可能反噬自身。以下是详细报道，让我们一探究竟。

　　一名黑客活动分子从一家消费级“跟踪软件”手机监控应用供应商处，抓取了超过50万条支付记录，曝光了那些付费监视他人的客户的邮箱地址和部分支付信息。

　　这些交易记录包含Geofinder和uMobix等手机追踪服务的付款信息，以及Peekviewer（原名Glassagram）等服务——后者声称能访问私人Instagram账户。这些应用均由同一家供应商提供，即乌克兰公司Struktura。

　　客户数据还包括Xnspy的交易记录，这是一款知名的手机监控应用，曾在2022年泄露了数万名毫无戒心的用户的安卓设备和iPhone的私人数据。

　　这是监控供应商因安全漏洞暴露客户信息的最新案例。过去几年，由于跟踪软件运营商的网络安全措施拙劣，数十款跟踪应用被黑，或意外丢失、泄露、曝光人们的私人数据——受害者往往是被监控者本人。

　　联系我们

　　如需安全联系Zack Whittaker，请通过Signal用户名zackwhittaker.1337联系。安全联系Lorenzo Franceschi-Bicchierai，请通过Signal号码+1 917 257 1382，或通过Telegram、Keybase和Wire@lorenzofb，或邮箱联系。

　　像uMobix和Xnspy这样的跟踪软件，一旦植入他人手机，就会上传受害者的私人数据，包括通话记录、短信、照片、浏览历史和精确位置信息，然后分享给植入应用的人。

　　uMobix和Xnspy等应用曾明确宣传其服务可用于监视配偶和家庭伴侣，这是非法的。

　　TechCrunch查看的数据包含约53.6万条客户邮箱地址、客户付费的应用或品牌、支付金额、支付卡类型（如Visa或Mastercard）以及卡号后四位。客户记录未包含支付日期。

　　TechCrunch通过验证确认数据真实：我们抽取了几条包含可公开访问邮箱（如Mailinator）的交易记录，并在各监控应用提供的密码重置门户中测试。通过重置与公共邮箱关联的账户密码，我们确定这些是真实账户。

　　我们还通过匹配泄露数据集中每笔交易的唯一发票号与监控供应商的结账页面，验证了数据。这是因为结账页面允许我们从服务器检索相同的客户和交易数据，无需密码。

　　化名“wikkid”的黑客活动分子告诉TechCrunch，他们利用该跟踪软件供应商网站的一个“微不足道”漏洞抓取了数据。黑客表示，“针对用于监视他人的应用下手很有趣”，随后将抓取的数据发布在一个知名黑客论坛上。

　　黑客论坛的列表将监控供应商列为Ersten Group，该公司自称是一家总部位于英国的软件开发初创企业。

　　TechCrunch发现，数据集中有几个用于测试和客户支持的邮箱地址反而指向Struktura——一家乌克兰公司，其网站与Ersten Group完全相同。数据集中最早的记录包含Struktura首席执行官Viktoriia Zosim的邮箱地址，涉及一笔1美元的交易。

　　Ersten Group的代表未回应我们的置评请求。Struktura的Zosim也未回复评论请求。