Amazon tidak mengatakan apakah itu berencana untuk mengambil tindakan terhadap tiga aplikasi pengawasan telepon yang menyimpan sejumlah besar data telepon pribadi individu di server cloud Amazon, meskipun TechCrunch memberi tahu raksasa teknologi itu beberapa minggu sebelumnya bahwa data telepon yang dicuri di-hosting oleh Amazon.
Amazon mengatakan kepada TechCrunch bahwa mereka 'mengikuti [proses] mereka' setelah pemberitahuan kami pada bulan Februari, tetapi pada waktu publikasi artikel ini, operasi stalkerware Cocospy, Spyic, dan Spyzie terus mengunggah dan menyimpan foto yang diambil dari ponsel orang-orang di Amazon Web Services.
Cocospy, Spyic, dan Spyzie adalah tiga aplikasi Android yang sangat mirip yang berbagi kode sumber yang sama dan bug keamanan yang umum, menurut seorang peneliti keamanan yang menemukannya, dan memberikan detail kepada TechCrunch. Peneliti mengungkapkan bahwa operasi tersebut mengekspos data telepon pada total 3,1 juta orang, banyak di antaranya adalah korban yang tidak tahu bahwa perangkat mereka telah diretas. Peneliti membagikan data tersebut dengan situs pemberitahuan pelanggaran Have I Been Pwned.
Sebagai bagian dari investigasi kami terhadap operasi stalkerware, yang mencakup menganalisis aplikasi itu sendiri, TechCrunch menemukan bahwa sebagian dari konten perangkat yang diretas oleh aplikasi stalkerware tersebut diunggah ke server penyimpanan yang dijalankan oleh Amazon Web Services, atau AWS.
TechCrunch memberitahu Amazon pada tanggal 20 Februari melalui email bahwa mereka sedang meng-host data yang diambil oleh Cocospy dan Spyic, dan lagi lebih awal minggu ini ketika kami memberi tahu Amazon bahwa mereka juga meng-host data telepon yang dicuri yang diambil oleh Spyzie.
Dalam kedua email tersebut, TechCrunch menyertakan nama dari masing-masing 'bucket' penyimpanan yang di-host oleh Amazon yang berisi data yang diambil dari ponsel korban.
Dalam tanggapannya, juru bicara Amazon Ryan Walsh mengatakan kepada TechCrunch: 'AWS memiliki ketentuan yang jelas yang mengharuskan pelanggan kami menggunakan layanan kami sesuai dengan hukum yang berlaku. Ketika kami menerima laporan pelanggaran ketentuan kami, kami segera bereaksi untuk meninjau dan mengambil langkah-langkah untuk menonaktifkan konten yang dilarang.' Walsh memberikan tautan ke halaman web Amazon yang menyelenggarakan formulir pelaporan penyalahgunaan, tetapi tidak akan berkomentar tentang status server Amazon yang digunakan oleh aplikasi tersebut.
Dalam email lanjutan minggu ini, TechCrunch merujuk kembali ke email 20 Februari yang mencakup nama 'bucket' penyimpanan yang di-host oleh Amazon. Dalam tanggapannya, Walsh berterima kasih kepada TechCrunch atas 'pengingatannya,' dan memberikan tautan lain ke formulir pelaporan penyalahgunaan Amazon. Ketika ditanya lagi apakah Amazon berencana mengambil tindakan terhadap 'bucket' tersebut, Walsh menjawab: 'Kami belum menerima laporan penyalahgunaan dari TechCrunch melalui tautan yang kami berikan sebelumnya.'
Juru bicara Amazon Casey McGee, yang disalin dalam benang email tersebut, mengklaim bahwa akan 'tidak tepat bagi TechCrunch untuk menggambarkan substansi benang ini sebagai [sic] merupakan 'laporan' dari potensi penyalahgunaan apa pun.'
Amazon Web Services, yang memiliki kepentingan komersial dalam mempertahankan pelanggan pembayar, menghasilkan keuntungan sebesar $39,8 miliar selama 2024, berdasarkan hasil tahun penuh perusahaan tersebut pada 2024, mewakili sebagian besar dari total pendapatan tahunan Amazon.
'Bucket' penyimpanan yang digunakan oleh Cocospy, Spyic, dan Spyzie, masih aktif pada waktu publikasi.
Mengapa ini penting
Kebijakan penggunaan yang dapat diterima Amazon dengan jelas menguraikan apa yang diperbolehkan perusahaan dalam meng-host di platformnya. Amazon nampaknya tidak memperdebatkan bahwa mereka melarang operasi perangkat lunak mata-mata dan stalkerware untuk mengunggah data di platform mereka. Sebaliknya, perselisihan Amazon sepenuhnya terkait prosedural.
Bukanlah tugas jurnalis — atau siapa pun — untuk mengawasi apa yang di-host di platform Amazon, atau platform cloud perusahaan lainnya.
Amazon memiliki sumber daya yang sangat besar, baik secara finansial maupun teknologis, untuk memastikan bahwa pelaku buruk tidak menyalahgunakan layanannya.
Pada akhirnya, TechCrunch memberi tahu Amazon, termasuk informasi yang langsung menunjuk ke lokasi data telepon pribadi yang dicuri. Amazon memilih untuk tidak bertindak atas informasi yang mereka terima.
Bagaimana kami menemukan data korban yang di-host di Amazon
Ketika TechCrunch mengetahui tentang pelanggaran data terkait surveilans — telah terjadi puluhan serangan dan kebocoran stalkerware dalam beberapa tahun terakhir — kami menyelidiki untuk mempelajari sebanyak mungkin tentang operasi tersebut.
Investigasi kami dapat membantu mengidentifikasi korban yang teleponnya diretas, tetapi juga dapat mengungkap identitas nyata operator surveilans sendiri, serta platform mana yang digunakan untuk memfasilitasi surveilans atau meng-host data yang dicuri korban. TechCrunch juga akan menganalisis aplikasi (jika tersedia) untuk membantu korban menentukan cara mengidentifikasi dan menghapus aplikasi tersebut.
Sebagai bagian dari proses pelaporan kami, TechCrunch akan menghubungi setiap perusahaan yang kami identifikasi sebagai host atau mendukung operasi perangkat lunak mata-mata dan stalkerware, seperti praktik standar bagi para wartawan yang berencana menyebutkan sebuah perusahaan dalam sebuah cerita. Tidak jarang bagi perusahaan, seperti penyedia web dan pemroses pembayaran, untuk menonaktifkan akun atau menghapus data yang melanggar ketentuan layanannya sendiri, termasuk operasi perangkat lunak mata-mata sebelumnya yang telah di-host di Amazon.
Pada bulan Februari, TechCrunch mengetahui bahwa Cocospy dan Spyic telah diretas dan kami mulai menyelidiki lebih lanjut.
Karena data menunjukkan bahwa mayoritas korban adalah pemilik perangkat Android, TechCrunch memulai dengan mengidentifikasi, mengunduh, dan menginstal aplikasi Cocospy dan Spyic pada perangkat Android virtual. (Perangkat virtual memungkinkan kami untuk menjalankan aplikasi stalkerware di dalam lingkungan terlindungi tanpa memberikan data dunia nyata apa pun kepada kedua aplikasi, seperti lokasi kami.) Baik Cocospy maupun Spyic muncul sebagai aplikasi yang terlihat identik dan tidak mencolok bernama 'Layanan Sistem' yang mencoba menghindari deteksi dengan menyatu dengan aplikasi bawaan Android.
Kami menggunakan alat analisis lalu lintas jaringan untuk memeriksa data yang masuk dan keluar dari aplikasi, yang dapat membantu memahami bagaimana setiap aplikasi bekerja dan untuk menentukan data ponsel apa yang diunggah secara diam-diam dari perangkat uji kami.
Lalu lintas web menunjukkan bahwa kedua aplikasi stalkerware tersebut mengunggah beberapa data korban, seperti foto, ke 'bucket' penyimpanan yang bernama sama dengan mereka yang di-host di Amazon Web Services.
Kami mengonfirmasi ini lebih lanjut dengan masuk ke dashboard pengguna Cocospy dan Spyic, yang memungkinkan orang yang menanamkan aplikasi stalkerware untuk melihat data yang dicuri target. Dashboard web memungkinkan kami mengakses konten galeri foto perangkat Android virtual kami setelah kami dengan sengaja meretas perangkat virtual kami dengan aplikasi stalkerware tersebut.
Saat kami membuka konten galeri foto perangkat kami dari dashboard web masing-masing aplikasi, gambar-gambar dimuat dari alamat web yang berisi nama 'bucket' mereka masing-masing yang di-host di domain amazonaws.com, yang dijalankan oleh Amazon Web Services.
Mengikuti berita terbaru tentang pelanggaran data Spyzie, TechCrunch juga menganalisis aplikasi Android Spyzie menggunakan alat analisis jaringan dan menemukan data lalu lintas yang identik dengan data Cocospy dan Spyic. Aplikasi Spyzie secara serupa mengunggah data perangkat korban ke 'bucket' penyimpanan bernama sama di awan Amazon, yang kami beritahu Amazon pada tanggal 10 Maret.
Jika Anda atau seseorang yang Anda kenal memerlukan bantuan, National Domestic Violence Hotline (1-800-799-7233) menyediakan dukungan 24/7 gratis dan rahasia untuk korban kekerasan dan kekerasan dalam rumah tangga. Jika Anda dalam situasi darurat, panggil 911. Koalisi Melawan Stalkerware memiliki sumber daya jika Anda mengira ponsel Anda telah diretas oleh perangkat lunak mata-mata.
