FTC palaiko draudimą stalkerware įkūrėjui Scottui Zuckermanui

Pasak JAV Federalinės prekybos komisijos, „Stalkerware“ kūrėjas, kuriam buvo uždrausta dalyvauti stebėjimo pramonėje po duomenų pažeidimo, atskleidusio asmeninę klientų informaciją, taip pat žmonių, kuriuos jie šnipinėjo, nebegalės pardavinėti invazinės programinės įrangos.

FTC atmetė prašymą atšaukti šį draudimą, kurį pateikė Scott Zuckerman, vartotojų šnipinėjimo programų įmonės „Support King“ ir jos dukterinių įmonių „SpyFone“ ir „OneClickMonitor“ įkūrėjas.

Pirmadienį FTC paskelbė apie paneigimą pranešime spaudai po to, kai Zuckermanas šių metų liepą padavė federalinei priežiūros institucijai prašymą atšaukti arba pakeisti įsakymą dėl draudimo.

2021 m. FTC uždraudė Zuckermanui „siūlyti, reklamuoti, parduoti ar reklamuoti bet kokią stebėjimo programą, paslaugą ar verslą“, taip užkertant kelią jam vykdyti kitą stalkerware verslą. Agentūra taip pat nurodė Zuckermanui ištrinti visus „SpyFone“ surinktus duomenis, taip pat dažnai atlikti auditus ir nustatyti tam tikras kibernetinio saugumo praktikas savo įmonėms.

„SpyFone yra įžūlus prekės ženklas, skirtas stebėjimo verslui, kuris padėjo persekiotojams pavogti privačią informaciją“, – sakė Samuelis Levine'as, tuomet einantis FTC vartotojų apsaugos biuro direktoriaus pareigas. „Stakerware buvo paslėpta nuo įrenginių savininkų, tačiau buvo visiškai veikiama įsilaužėlių, kurie išnaudojo bendrovės slaptą apsaugą.

Savo peticijoje Zuckermanas teigė, kad dėl FTC įsakymo saugumo reikalavimų jam buvo sunkiau valdyti kitas savo įmones dėl finansinių išlaidų, nepaisant to, kad „Support King“ nebeveikia, o dabar jis vadovauja tik restoranui ir planuoja kitas „turizmo įmones“ Puerto Rike.

Susisiekęs elektroniniu paštu, Zuckermanas atsisakė komentuoti ir perdavė klausimus savo advokatui.

FTC draudimas atsirado dėl 2018 m. įvykusio incidento, kai saugumo tyrėjas rado „SpyFone“ priklausantį „Amazon S3“ kibirą, kuriame buvo palikti itin jautrūs duomenys, įskaitant asmenukes, tekstinius pranešimus, pokalbių programų pranešimus, garso įrašus, kontaktus, vietą, slaptažodžius ir prisijungimo vardus ir kt., kuriuos visi galėtų matyti ir pasiekti.

Atskleisti duomenys apėmė 44 109 unikalius el. pašto adresus ir, pasak pažeidimą radusio tyrėjo, „mažiausiai 2 208 dabartiniai klientai ir šimtai ar tūkstančiai nuotraukų ir garso įrašų kiekviename aplanke“ iš 3 666 telefonų, kuriuose buvo įdiegta SpyFone stalkerware.

Mažiau nei metai po 2021 m. FTC užsakymo „TechCrunch“ pranešė, kad Zuckermanas vadovauja kitai „Stalkerware“ įmonei. 2022 m. „TechCrunch“ gavo daugybę pažeistų duomenų iš „Stalkerware“ programos „SpyTrac“. Duomenys atskleidė, kad „SpyTrac“ valdė laisvai samdomi kūrėjai, tiesiogiai susiję su „Support King“, o tai atrodė kaip bandymas apeiti FTC draudimą. Be to, pažeisti duomenys apėmė „SpyFone“ įrašus, kuriuos Zuckermanui buvo įsakyta ištrinti, ir raktus, leidžiančius pasiekti „OneClickMonitor“ debesies saugyklą, dar vieną iš jo „stalkerware“ programų.

Eva Galperin, žinoma stalkerware ekspertė, džiaugėsi šia žinia. „Ponas Zuckermanas aiškiai tikėjosi, kad jei kelerius metus nusileis, visi pamirštų priežastis, dėl kurių FTC paskelbė draudimą ne tik bendrovei, bet ir konkrečiai jam“, – „TechCrunch“ sakė Galperinas.

„TechCrunch“ 2022 m. atskleidimas, kad Zuckermanas akivaizdžiai pažeidė FTC draudimą, „rodo, kad Zuckermanas neišmoko savo pamokos“, – pridūrė Galperinas, skaitmeninių teisių ne pelno siekiančios organizacijos „Electronic Frontier Foundation“ kibernetinio saugumo direktorius.

Stalkerware programos leidžia savo klientams slapta šnipinėti savo artimųjų telefonus ir įrenginius. Remiantis „TechCrunch“ duomenimis, per pastaruosius aštuonerius metus buvo įsilaužta į mažiausiai 26 „stalkerware“ įmones, kurios buvo ne tik įgalintos galimai neteisėta veikla, bet ir palikusios slaptus duomenis internete. Šie pasikartojantys incidentai rodo, kad šioms įmonėms ne kartą nepavyko apsaugoti savo klientų ir žmonių, kuriuos jos šnipinėja, privatumo.