아마존은 기술 거두지가 기술 거두지를 통해 털어진 휴대전화 데이터를 호스팅하고 있다는 사실을 몇 주 전에 알린 후에도 세 가지 전화 감시 앱에 대해 어떤 조치를 취할 계획인지 밝히지 않을 것이라고 결정했습니다. TechCrunch는 아마존이 스토킹 앱 Cocospy, Spyic 및 Spyzie에 의해 훔쳐진 폰 데이터를 호스팅하고 있음을 이메일로 알렸을 때, 아마존은 "절차를 따르고 있다"고 말했지만 이 기사가 게시된 시점에서 Cocospy, Spyic 및 Spyzie는 여전히 아마존 웹 서비스에 사람들의 전화에서 스스로 캡쳐한 사진을 업로드하고 저장하고 있습니다.
Cocospy, Spyic 및 Spyzie는 같은 소스 코드와 공통 보안 버그를 공유하는 세 가지 거의 동일한 안드로이드 앱으로, 이를 발견한 보안 연구원에 따르면, 이 작업은 전화 데이터를 공개에 노출시켰으며, 수백만 명의 피해자들 중 많은 사람들이 자신의 기기가 해킹된 것을 전혀 모르고 있다. 이 연구자는 Have I Been Pwned라는 침해 통지 사이트와 데이터를 공유했습니다.
스토킹 앱 작업을 조사하기 위해 앱 자체를 분석하는 TechCrunch의 일환으로 여러 앱 중 일부가 스토킹 앱에 의해 침해된 장치의 내용이 AWS에서 실행되는 저장 서버로 업로드되고 있음을 발견했습니다.
TechCrunch는 2월 20일 이메일을 통해 Amazon이 Cocospy와 Spyic에 의해 추출된 데이터를 호스팅하고 있음을 통지했고, 이번 주 앞두고 우리가 Amazon이 Spyzie에 의해 추출된 휴대전화 데이터를 호스팅하고 있음을 알린 때에도 Amazon에 알리지 않았습니다.
두 번의 이메일을 보낼 때, TechCrunch는 각 소비자들의 데이터가 포함된 특정한 Amazon 호스팅 저장 '버킷'의 이름을 포함했습니다.
에 대해 대답할 때, 아마존 대변인 라이언 월시는 "AWS는 우리의 서비스를 관련 법률을 준수하도록 요구하는 명확한 약관을 가지고 있습니다. 저희가 우리의 약관을 위반한 사례에 대한 보고서를 받을 때 우리는 신속하게 검토하고 금지된 콘텐츠를 비활성화하기 위한 조치를 취합니다."라고 TechCrunch에 말했지만 월시는 앱에 의해 사용된 Amazon 서버의 상태에 대해 언급하지 않았습니다.
이번 주의 후속 이메일에서 TechCrunch는 이전 2월 20일 이메일을 언급했으며 그 때 포함된 Amazon 호스팅 저장 버킷 이름을 기재했습니다.
그에 대한 대답으로 월시는 TechCrunch에게 "이를 우리에게 주의 주셔서 감사합니다."라고 말하며 Amazon의 신고 남용 양식을 또 다른 링크로 제공했습니다. Amazon이 버킷에 대해 조치를 취할 계획이 있는지에 대해 다시 물었을 때 월시는 "우리는 이전에 제공한 링크를 통해 TechCrunch로부터 남용 보고서를 아직 받지 못했습니다."라고 답했습니다.
이메일 스레드에 참조된 케이시 맥기라는 아마존 대변인은 "이 스레드의 내용을 '남용'의 '보고'로 표현하는 것은 TechCrunch가 정확하지 않다고 하는 것입니다."라고 주장했습니다.
AWS는 연간 소득의 주요 부분을 차지하는 2024년 회사의 전체 연간 수익금 398억 달러를 거두었습니다.
코코스파이, 스파이크 및 스파이지가 사용하는 저장 버킷은 게시된 시점에서 활성 상태입니다.
왜 중요한 이유
아마존의 허용 가능한 사용 정책은 기본적으로 회사가 플랫폼에서 어떤 것을 호스팅할 것을 허용하는 것을 넓게 설명합니다. 아마존이 스파이웨어와 스토킹 앱이 플랫폼에 데이터를 업로드하는 것을 금지한다는 점을 방해하지 않는 것으로 보입니다. 대신, 아마존의 분쟁은 완전히 절차적인 것으로 보입니다.
기자의 일이나 다른 사람의 일은 아마존의 플랫폼이나 다른 회사의 클라우드 플랫폼에 호스팅되는 것을 감시하거나 억제하는 것이 아닙니다.
아마존은 나쁜 행위자가 서비스를 남용하지 못하도록 자사 정책을 시행하기 위해 금전적으로나 기술적으로 막대한 자원을 가지고 있습니다.
결국 TechCrunch는 피해자들의 휴대전화에서 도난당한 개인 데이터의 대량이 어디에 있는지 직접 지적하는 정보를 아마존에게 통보했습니다. 아마존은 받은 정보에 대해 조치를 취하지 않기로 결정했습니다.
아마존에서 피해자들의 데이터를 어떻게 찾아냈는가
TechCrunch가 감시 관련 데이터 침해사건을 발견하면 -- 최근 몇 년 동안 몇 번의 스토킹 균열 및 유출 사례가 있었습니다 -- 가능한 한 그 작업에 대해 많이 조사합니다.
우리의 조사는 휴대폰이 해킹된 피해자들을 식별하는 데 도움이 될 수 있을 뿐만 아니라 감시 작업자들의 실제 세계 정체성과, 어떤 플랫폼이 감시를 용이하게하거나 피해자들의 도난 데이터를 호스팅하는지를 밝혀낼 수 있습니다. TechCrunch는 또한 피해자가 해당 앱을 식별하고 제거하는 방법을 결정하는 데 도움이 되기 위해 앱을 분석할 것입니다.
기사 작성 과정 중, TechCrunch는 이야기에 언급할 계획인 기업에 연락을 취할 것입니다. 이는 아마존과 같은 회사뿐만 아니라 이야기에 기업을 언급할 계획을 가진 기자들에게 표준적인 실천입니다. 또한 웹 호스트 및 지불 처리자와 같은 기업들이 Amazon에 호스팅된 이전 스파이웨어 작업과 같이 자사 서비스 이용 약관을 위반하는 데이터를 중단하거나 제거하는 것은 일반적인 일입니다.
2월에 TechCrunch는 Cocospy와 Spyic가 침해당했다는 사실을 알아내어 더 조사하게 되었습니다.
데이터가 대부분의 피해자가 안드로이드 기기 소유자임을 보여주었기 때문에 TechCrunch는 Cocospy와 Spyic 앱을 가상 안드로이드 기기에 식별, 다운로드, 설치하기로 결정했습니다. (가상 기기는 우리 위치와 같은 실제 데이터를 제공하지 않고도 스토킹 앱을 보호된 환경에서 실행할 수 있는 장치입니다.) Cocospy와 Spyic 앱은 안드로이드의 내장 앱과 융합하여 탐지를 회피하려고 시도하는 'System Service'라는 동일하게 보이는 앱으로 나타났습니다.
네트워크 트래픽 분석 도구를 사용하여 앱을 통해 흐르는 데이터를 검사했으며, 각 앱이 어떻게 작동하는지 이해하고 테스트 기기에서 재빨리 업로드되는 어떤 전화 데이터가 숨겨진 것인지를 결정할 수 있도록 도와줍니다.
웹 트래픽은 두 스토킹 앱이 사진과 같은 몇몇 피해자의 데이터를 업로드하고 있음을 보여줬고, 이 데이터는 아마존 웹 서비스에 호스팅된 각 이름에 속한 저장 버킷에 업로드되고 있었습니다.
이를 더 확인하기 위해, 우리는 Cocospy와 Spyic 사용자 대시보드에 로그인하여, 스토킹 앱을 가상 장치에 침입시킴으로써 표적의 도난 데이터를 볼 수 있는 것을 확인했습니다.
각 앱의 웹 대시 보드에서 기기의 사진 갤러리의 내용을 열었을 때, 이미지는 아마존 웹 서비스에서 운영되는 도메인 amazonaws.com을 포함한 웹 주소에서 로드된 것을 확인했습니다.
스파이지의 데이터 유출 이후 나준 기술 거두지는 3월 10일에 아마존에 알렸고, Spyzie의 안드로이드 앱을 분석했더니 Cocospy와 Spyic과 동일한 트래픽 데이터를 발견했습니다. Spyzie 앱도 피해자의 기기 데이터를 자사의 명목으로 아마존의 클라우드에 있는 자신의 저장 버킷에 업로드했습니다.
도움이 필요하신 분이나 아시는 분이 있다면, 국가 가정 폭력 핫라인 (1-800-799-7233)이 24시간 무료, 비밀스럽고 피해자에게 지원을 제공합니다. 긴급 상황에서는 911로 전화하세요. 스토킹 앱에 의해 당신의 전화가 침입당했다고 생각하면 Coalition Against Stalkerware에 대한 자원을 제공합니다.
