據(jù)The Hacker News 6月29日消息，一款基于 Android 的手機監(jiān)控應(yīng)用程序LetMeSpy披露了一個安全漏洞，該漏洞已導(dǎo)致未經(jīng)授權(quán)的第三方竊取了數(shù)千名用戶的敏感數(shù)據(jù)。

LetMeSpy 在其網(wǎng)站上發(fā)布的公告中聲稱，通過此次攻擊，攻擊者獲得了用戶電子郵件地址、電話號碼以及賬戶上收集的消息內(nèi)容，并指出該事件發(fā)生于 2023 年 6 月 21 日。

LetMeSpy 表示，在發(fā)現(xiàn)黑客攻擊后已立即通知執(zhí)法和數(shù)據(jù)保護機構(gòu)，并采取措施暫停所有與帳戶相關(guān)的功能，直至另行通知。目前，攻擊者的身份及其動機尚不清楚。

LetMeSpy 是一家名為 Radeal 的波蘭公司的產(chǎn)品，曾被宣傳為家長或員工控制的工具。但正如其名，用戶只需以每月訂閱的形式提供（標準版 6 美元，專業(yè)版 12 美元），在設(shè)備上安裝該軟件即可對他人進行監(jiān)視。

LetMeSpy 具有廣泛的功能來收集通話記錄、短信和地理位置，所有這些都可以從網(wǎng)站訪問。為了逃避檢測和刪除，該應(yīng)用的圖標可以從設(shè)備的主屏幕啟動器中隱藏。截至 2023 年 1 月，這款監(jiān)控軟件已被用來跟蹤全球 236322 部手機，收集了超過 6350 萬條短信、3970 萬條通話記錄和 4320 萬個位置信息。

波蘭安全研究博客 Niebezpiecznik最先報告了此次泄露事件并分析了被盜數(shù)據(jù)的轉(zhuǎn)儲，稱其中包括約 26000 個電子郵件地址、16000 條短信以及受害者位置數(shù)據(jù)庫。TechCrunch 對泄露信息的進一步分析顯示，這些數(shù)據(jù)最早可以追溯到 2013 年，當時 LetMeSpy 才剛開始運營。這些記錄還包含來自至少 13000 個受感染設(shè)備的數(shù)據(jù)，大多數(shù)受害者位于美國、印度和非洲部分地區(qū)。