Dentro il mercato dei dispositivi di sorveglianza “per gli stalker”

John* ha scritto un semplice messaggio alla moglie nel gennaio 2016. "Ti amo," diceva.

Ma quello non era l'unico messaggio visualizzato. All'insaputa di John, sua moglie aveva installato una cimice nel suo smartphone. Stava spiando John, guardando di nascosto ogni suo SMS e messaggio multimediale, e seguendo ogni suo passo attraverso il GPS del dispositivo.

Stava anche rubando tutte le foto di John. In un'immagine lievemente sfocata John, un agente di polizia in una piccola cittadina nel sud-ovest degli Stati Uniti, è inginocchiato sopra a un sospetto a faccia in giù sul cordolo. In un'altra, John si sta facendo un selfie con una camicia bianca e una cravatta nera. Una terza ancora mostra uno scambio di mail con il servizio di aiuto alle forze dell'ordine di Facebook, rivelando che John stava facendo richiesta di dati su un soggetto sotto indagine.

Questi messaggi e immagini, inclusi alcuni dei momenti più intimi della coppia, sono stati presi direttamente dal telefono di John da sua moglie, usando una componente di un software di sorveglianza per uso civile creato dalla compagnia americana Retina-X. Per ironia della sorte, il software si chiama PhoneSheriff.

John è solo uno delle decine di migliaia di individui sparsi per il mondo loro malgrado vittime di potenti e relativamente economici spyware che chiunque può comprare. Persone comuni – avvocati, insegnanti, operai edili, genitori, amanti gelosi – hanno comprato malware per monitorare telefoni cellulari o computer, secondo una grossa cache di file hackerati da Retina-X e FlexiSpy, un'altra compagnia di spyware.

I documenti violati hanno evidenziato come la tecnologia di sorveglianza per uso civile, che condivide alcune capacità e a volte anche lo stesso codice di spy software usati dai governi, ha preso piede tra i comuni consumatori. E sembra che non poche persone siano desiderose di usare questa tecnologia sui loro compagni, coniugi, o figli.

In altre parole, la sorveglianza comincia a casa.

Morgan Marquis-Boire è un ricercatore in sicurezza che ha passato mesi a scavare nell'industria degli spyware per uso civile, e ha visto di persona come può essere usata in casi di violenza domestica. Ha anche passato parecchi anni a fare ricerche sugli spyware usati dai governi. Secondo lui, il primo tipo di sorveglianza, che può essere anche chiamato codice stalker o codice coniuge, merita più attenzione perché è più comune e diffuso di quanto si possa pensare, e "le vittime sono persone comuni," ci ha detto.

Sofisticati malware governativi o attacchi informatici su una persona sono come "un raro agente patogeno a trasmissione ematica," mentre lo spyware per uso civile è più come "un comune raffreddore" o febbre. Non è altrettanto esotico, ma "in realtà uccide un sacco di persone ogni anno," ha detto Marquis-Boire a Motherboard.

Circa 130.000 persone hanno avuto un account su Retina-X o FlexiSpy, secondo i dati forniti a Motherboard da due hacker, in parte attraverso la piattaforma di leaking SecureDrop. Comunque, il numero totale di clienti potrebbe essere più alto, visto che i dati potrebbero non essere pienamente rappresentativi delle due compagnie.

Tra i possessori di un account su FlexiSpy figurano: un insegnante di quinta elementare di Washington, DC; un allevatore di cani in Georgia; il presidente di una società che si occupa di fornitura di occhiali da sole a New York.

Se qualcuno installa un software FlexiSpy o Retina X su un cellulare a cui ha fisicamente accesso, gli utenti potrebbero essere in grado di intercettare chiamate, accendere il microfono del dispositivo da remoto, monitorare le chat di Facebook, WhatsApp e iMessage, leggere SMS, tracciare le posizioni GPS del telefono, e registrare la cronologia internet del proprietario.

E tra i possessori di un account su Retina-X figurano il vice-presidente di una banca commerciale a Los Angeles, il fondatore di una agenzia di assunzioni a Chicago, e, ovviamente, la moglie di John. Oltre a PhoneSheriff, Retina-X offre anche SpinerSpy e TeenShield.

A seconda del prodotto, i clienti di FlexiSpy e Retina-X possono aver pagato tra i soli $50 e i $200 per una sottoscrizione mensile o annuale.

Motherboard ha identificato i possessori di un account usando gli indirizzi e-mail e i nomi inclusi nei dati, e trovando i rispettivi profili social, siti internet, o altri dettagli online. (In alcuni casi è stato possibile verificare se un indirizzo fosse collegato a un account di spyware cercando di creare un nuovo utente sullo stesso sito, o chiedendo il reset della password.) Alcuni clienti sia di FlexiSpy sia di Retina-X inclusi nei dati hanno confermato a Motherboard di aver acquistato i malware delle compagnie.

"L'ho comprato per vedere se il mio ex fidanzato mi stesse tradendo," ha detto a Motherboard in una email una cliente di FlexiSpy inclusa nei dati.

"Ho usato il servizio per avere conferma che la mia ex ragazza mi stesse tradendo. Mi ha permesso di ottenere una registrazione audio in remoto di lei…durante l'atto. I soldi meglio spesi della mia vita," ha detto un altro cliente di FlexiSpy.

"È normale," ha detto a Motherboard un terzo cliente di FlexiSpy.

Questi proprietari di spyware e le loro vittime non si trovano solo negli Stati Uniti. I dati di Retina-X contengono parecchi documenti di grandi dimensioni di presunte coordinate GPS di telefoni infetti in giro per il mondo. Francia, Spagna, Israele, Brasile, Colombia, Mozambico, Nigeria, India, Vietnam, Indonesia, Australia e molti altri paesi sono inclusi. I registri GPS ottenuti da Motherboard coprono il periodo 2014-2016, ma l'hacker ha detto di averci fornito solo un campione.

Una mappa di presunte posizioni GPS di vittime di sorveglianza acquisite tramite il software Retina-X. Motherboard ha deliberatamente oscurato le posizioni GPS per proteggere la privacy delle persone coinvolte.

I dati includono anche prove del fatto che tra i clienti di FlexiSpy figurino membri del governo e delle forze dell'ordine. FlexiSpy ha dei legami con il mercato di malware anti-crimine, ma non è chiaro se i malware siano stati acquistati per utilizzo ufficiale o personale in questi casi.

I documenti di Retina-X includono altri screenshot e foto apparentemente scattate con dispositivi infetti: un uomo che fa una faccia buffa alla fotocamera del suo telefono; una ragazzina in posa allo specchio. Per la verità, molte delle immagini ritraggono bambini. Dopo tutto, gli spyware per uso civile possono essere usati da genitori o tutori per monitorare legalmente i propri figli. Il software può anche essere usato per tenere sott'occhio impiegati con un telefono fornito dalla compagnia – probabilmente con il consenso del dipendente. Entrambe le compagnie pubblicizzano queste tipologie di impiego sui loro siti web, e termini e condizioni di Retina-X dichiarano che questi sono gli unici due utilizzi consentiti del loro prodotto.

In ogni caso, la maggior parte degli account di Retina-X e FlexiSpy sembrano essere collegati a indirizzi email personali, piuttosto che a domini appartenenti a imprese, istituzioni, o agenzie governative. E FlexiSpy ha anche esplicitamente lanciato i suoi prodotti sul mercato indirizzandosi ad amanti gelosi desiderosi di spiare i loro compagni.

"Molti coniugi tradiscono," recitava il sito web di FlexiSpy. "Tutti usano il cellulare. Il loro cellulare vi dirà ciò che loro non diranno."

Negli ultimi due decenni, gli spyware per uso civile sono stati usati in casi di violenza domestica, e in una recente telefonata con Motherboard, una compagnia ha ammesso che il suo software può essere usata per monitorare un coniuge senza il suo permesso. Un'inchiesta della National Public Radio del 2014 ha rilevato che in 70 rifugi per violenza domestica oggetto di un recente sondaggio negli Stati Uniti, il 75 percento ha incontrato vittime i cui aguzzini utilizzavano app di sorveglianza.

Elle Armageddon, un'attivista ed esperta di sicurezza operativa, ci ha detto che mentre è difficile sapere esattamente quante donne in relazioni violente siano vittime di spyware, il suo utilizzo potrebbe impedire alle donne – o agli uomini – di sfuggire alla relazione, visto che gli aguzzini potrebbero scoprire i piani di fuga dei loro partner.

"Quelli che vendono spouseware sono disposti a commercializzare l'agire di altri per profitto, pensando che la perdita di qualche vita sia un costo accettabile del fare affari," ha detto Armageddon in una mail a Motherboard. "Gli spyware sono spyware, e si tratta di una violazione dei diritti alla privacy di coloro che ne sono vittime, a prescindere che si tratti di dissidenti controllati da un'agente statale o di donne controllate dai loro compagni violenti."

Jessica* è stata vittima di violenza domestica. Il suo allora marito ha usato degli spyware per tenerla d'occhio mentre la coppia era separata. Inizialmente ha usato un registratore di battitura sul suo laptop, e poi un malware per il suo telefono.

"Oh merda, sapeva esattamente cosa stavo scrivendo tutto il giorno," ha detto Jessica a Motherboard in una precedente occasione. "Se stavo andando da qualche parte e non ero dove gli avevo detto che sarei stata, mi scriveva: 'Ti vedo.' Avevo questa sorta di raccapricciante e spaventosa sensazione; tipo che sapeva sempre cosa stessi facendo e dove stessi andando."

Questo business dello spionaggio sui coniugi è parte dei motivi per cui i due hacker hanno deciso di prendere di mira FlexiSpy e Retina-X. Ma le decine di migliaia di account che il duo ha fornito a Motherboard rappresenta solo una fetta del mercato di spyware per uso civile. Esistono una miriade di altre compagnie simile, che offrono malware a chiunque per un prezzo relativamente basso. Una delle più grandi, chiamata mSpy, presumibilmente ha circa due milioni di utenti. (Alcuni hackers hanno preso di mira mSpy nel 2015.)

"Sfortunatamente molte vittime di violenza non sanno mai quale furtivo prodotto di 'stalkerware' sia usato dal loro aguzzino per controllare ogni loro mossa," ha detto a Motherboard tramite email Cindy Southworth, vice presidente esecutivo del National Network to End Domestic Violence.

Negli Stati Uniti, intercettare le comunicazioni private di qualcuno è generalmente illegale, e un potenziale crimine di intercettazione, a meno che la persona che lo fa non sia un genitore che tiene d'occhio un figlio, o un datore di lavoro che monitora un dipendente su un dispositivo fornito dalla compagnia. Installare spyware sullo smartphone di qualcuno senza il suo consenso può portare, e ha portato, in prigione – a meno che non si tratti di un agente di polizia con un mandato.

Spiegando le sue motivazioni, l'hacker di Retina-X ha anche puntato il dito contro i genitori che usano questo tipo di software per monitorare i loro figli.

"Il 99% delle persone che vengono spiate con questa roba non merita di vedere la propria vita invasa fino a questo punto," ha detto a Motherboard su una chat online l'hacker che si è introdotto in Retina-X, che non ha voluto fornire alcun nome per identificarsi.

L'hacker ha criticato questo utilizzo non solo per ragioni etiche, ma anche perché usando il software sui loro bambini, i genitori non sono gli unici ad avere accesso ai loro dati. Le compagnie che forniscono il servizio possono fare la stessa cosa. E se le compagnie di spyware non proteggono adeguatamente quei dati estremamente sensibili, qualcun altro potrebbe essere in grado di entrarne in possesso.

"È impossibile essere certi di essere gli unici a guardare," ha aggiunto l'hacker. "Voglio che i genitori ci pensino due volte prima di sguinzagliare questo tipo di roba sui loro figli […] volevo danneggiare quei meccanismi di spionaggio perché penso che si tratti una categoria di software praticamente del tutto negativi."

L'hacker dietro l'intrusione di FlexiSpy usa lo pseudonimo Leopard Boy, un riferimento al film di culto del 1995 Hackers. Leopard Boy ha detto che ciò che FlexiSpy permette alla gente di fare è "fottutamente squallido e rivoltante da far accapponare la pelle."

"Penso che siano un'orda di stronzi disonesti che prendono di mira persone insicure per fare cassa," ha detto l'hacker. L'obiettivo dell'hackerare FlexiSpy, ci ha detto Leopard Boy, era mandare un messaggio all'intera industria.

"Come disse una volta il caro vecchio Phineas, la fuga di notizie non è fine a se stessa; sta tutto nel messaggio," ha aggiunto Leopard Boy, riferendosi all'hacker Phineas Fisher. (Phineas è diventato una specie di leggenda nella comunità di hacker per essere entrato nei server di FinFisher e Hacking Team, due compagnie che vendono spyware esclusivamente ad enti governativi.)

Entrambi gli hacker hanno dichiarato che i sistemi di entrambe le compagnie di spyware per uso civile non sono stati particolarmente difficili da violare.

L'hacker di Retina-X ha detto che odiava la compagnia così tanto che ha deciso di cancellare tutti i dati dai server della compagnia alla fine di febbraio. Questo spiega perché i portali di login di PhoneSheriff e altri prodotti di Retina-X recentemente dichiaravano di essere stati fuori servizio per un certo periodo, a causa di un "guasto all'hardware."

"Non vorrei che altre persone trovassero quei selfie su Rackspace [un provider di cloud storage], e se posso impedire a quei genitori etc. di spiare, non mi sembra male," ha scritto.

Leopard Boy sostiene che lui e un altro hacker hanno fatto qualcosa di simile a FlexiSpy lo scorso lunedì.

"Addio, Flexispy," ha detto Leopard Boy a Motherboard. "Buongiorno, Flexidie." Il duo ha preso possesso di uno degli account collegati a FlexiSpy il 18 aprile, e ha deriso la compagnia.

"Vi sentite…sicuri?" diceva uno dei tweet. Il duo ha anche modificato il sito della compagnia principale di FlexiSpy in modo tale che venisse automaticamente reindirizzato al gruppo di attivisti Privacy International, di base nel Regno Unito, e ha ripulito parecchi server.

Motherboard ha tentato di contattare il fondatore di FlexiSpy, Atir Raihan. Quando l'abbiamo raggiunto al telefono, qualcuno dall'altro capo della cornetta si è identificato come Raihan, ma poi ha detto di essere qualcun altro quando gli abbiamo chiesto di FlexiSpy. Nessuno ha risposto alle mail mandate all'indirizzo stampa di FlexiSpy. Apparenti clienti hanno notato l'interruzione, comunque, e in risposta a un commento sul gruppo Facebook di FlexiSpy, la compagnia martedì ha scritto: "FlexiSPY ha incontrato un temporaneo problema tecnico, il che significa che non sarà possibile accedere al portale. Pensiamo che il problema sarà risolto nelle prossime 48 ore."

Retina-X non ha risposto immediatamente alla richiesta di un commento.

Queste violazioni di dati potrebbero non riuscire a fermare la gente dallo spiare i propri figli o compagni. Ma forse porteranno alla luce siano diventare comuni e potenti gli spyware per uso civile. Anche in una piccola cittadina nel sud-ovest degli Stati Uniti.

La moglie di John ha monitorato le sue comunicazioni telefoniche per circa tre mesi, secondo i dati hackerati. E i registri SMS dei loro messaggi sembrano suggerire che John non sapesse di essere spiato da sua moglie. A quel Ti amo inviatole all'inizio del 2016, la moglie ha inviato una risposta rassicurante.

"Ti amo anche io," diceva.

*Alcuni nomi sono stati cambiati per proteggere la privacy delle persone coinvolte.

Se temi che spyware per uso civile possa essere stata installata sul tuo telefono, qui c'è qualche consiglio su come procedere.

Questa storia è parte di When Spies Come Home , una serie di Motherboard sui potenti software di sorveglianza che le persone comuni utilizzano per spiare i loro cari .