Un ciberdelincuente ha desfigurado el sitio web de la aplicación espía pcTattletale, utilizada en los sistemas de reserva de varios hoteles Wyndham en Estados Unidos, y ha filtrado más de una docena de archivos que contienen datos de la base de datos y del código fuente.
Descubrimientos Iniciales
Hace tres años, Vice reportó que esta aplicación de stalkerware también filtraba capturas de pantalla en tiempo real de teléfonos Android. Descrita por sus desarrolladores como un “software de monitoreo para empleados y niños,” pcTattletale es una solución de spyware de consumo que estaba filtrando detalles de huéspedes e información de clientes capturada desde los sistemas de check-in de los hoteles debido a una vulnerabilidad en su API, según TechCrunch.
El investigador de seguridad Eric Daigle encontró el spyware en los sistemas del hotel y publicó un artículo en su blog explicando que la falla en la API de pcTattletale que descubrió permite a cualquier atacante obtener la captura de pantalla más reciente registrada desde cualquier dispositivo en el que esté instalado pcTattletale.
Detalles de la Vulnerabilidad
“Recientemente descubrí una vulnerabilidad seria en la API de PCTattletale que permite a cualquier atacante obtener la captura de pantalla más reciente registrada desde cualquier dispositivo en el que esté instalado PCTattletale. Es distinta del IDOR descubierto previamente por Jo Coscia, y hace trivial obtener capturas de otros dispositivos,” dijo Daigle.
“Desafortunadamente, PCTattletale ha ignorado los intentos de Zack y míos de contactarlos para solucionar el problema, así que no puedo dar más detalles aquí para evitar fomentar el abuso de la vulnerabilidad. Esperemos que el autor del stalkerware se moleste en solucionar el problema pronto, en cuyo caso podré dar una explicación completa.”
En un video de YouTube de hace siete años, el desarrollador de pcTattletale, Bryan Fleming, lo describe como “software espía” mientras presenta su primera versión de prueba para Android.
“Descargue una prueba gratuita y póngala en su PC con Windows Home y vea cómo funciona. Es bastante sorprendente cómo hace una grabación de las pulsaciones de teclas y puede ver todo lo que sus hijos están haciendo en la computadora o sus empleados,” dice Fleming en el video.
Filtración y Consecuencias
Mientras él lo describe como software espía, Microsoft rastrea pcTattletale como una amenaza y dice que “observa lo que haces en tu PC, generalmente registrando tus pulsaciones de teclas o imágenes de pantalla” y que “intenta robar tu información sensible y confidencial.”
Los intentos de Daigle de contactar a los desarrolladores para solucionar la falla de seguridad fallaron, y la vulnerabilidad aún permite el acceso a información sensible de los usuarios espiados mediante el spyware pcTattletale.
Aunque el investigador de seguridad compartió solo una cantidad limitada de información sobre esta grave falla, alguien lo tomó como un desafío, desfigurando el sitio web del spyware y filtrando 20 archivos que contienen el código fuente y datos extraídos de las bases de datos de pcTattletale.
Sin embargo, como dice el ciberdelincuente en el sitio ahora desfigurado, no explotó la vulnerabilidad encontrada por Daigle. En su lugar, afirma que utilizó un exploit en Python para extraer las credenciales de AWS de pcTattletale a través de su API basada en SOAP, lo que proporcionó acceso al código fuente y a las bases de datos del spyware.
Contactaron a Fleming con más preguntas, pero no se recibió una respuesta inmediata.
Impacto de la Brecha
Según Troy Hunt de HIBP, se filtraron aproximadamente 100GB de datos, que contenían información de dispositivos, contraseñas hash MD5 y mensajes SMS para 139,000 direcciones de correo electrónico únicas. De estos correos electrónicos, aproximadamente el 58% ya estaban en el servicio de notificación de brechas de datos.
Hunt dijo que su servicio notificará a más de 1,000 personas suscritas a su servicio sobre la brecha.