一名黑客活动者从一家提供消费级手机监控应用的供应商处窃取了超过50万条支付记录，相关数据随后被公布在网上，暴露了付费使用这些“跟踪软件”的客户电子邮件地址和部分支付信息。

据报道，这批交易记录涉及多款手机追踪和社交媒体监控服务，包括Geofinder、uMobix、Peekviewer（前称Glassagram）以及该供应商提供的其他监控和追踪应用。上述应用的供应商为一家名为Struktura的乌克兰公司。

泄露数据还包含Xnspy的交易记录。Xnspy是一款知名手机监控应用，曾在2022年曝出安全事件，当时数万名毫无防备的Android设备和iPhone用户的私人数据被泄露。

此次事件是监控软件供应商因安全问题导致客户信息暴露的又一案例。过去数年，多款跟踪软件应用曾因遭到黑客攻击或运营方网络安全措施薄弱而发生数据丢失、泄露或暴露，受影响的往往是被监控的终端用户。

根据公开信息，uMobix和Xnspy等跟踪软件一旦安装在目标手机上，会收集并上传受害者的通话记录、短信、照片、浏览历史以及精确位置信息等私人数据，并将这些信息提供给安装和控制该应用的人。相关应用在市场推广中明确将服务定位于监视配偶和家庭伴侣，此类行为被认定为非法。

科技媒体TechCrunch获得并审阅了此次泄露的数据。数据显示，约有536,000条客户记录，其中包括客户电子邮件地址、所购买的应用或品牌名称、支付金额、支付卡类型（如Visa或Mastercard）以及支付卡号后四位，但不包含支付日期。

TechCrunch通过多种方式验证了数据的真实性。其一，部分交易记录使用了公共邮箱服务（如Mailinator）生成的临时电子邮件地址。TechCrunch在相关监控应用的密码重置页面中输入这些邮箱地址，并通过重置与之关联账户的密码，确认这些账户真实存在。其二，TechCrunch将泄露数据集中每笔交易的唯一发票号码与监控供应商网站的结账页面进行比对。由于结账页面允许在无需密码的情况下从服务器检索相同的客户和交易数据，TechCrunch得以将发票号码与泄露数据一一对应，从而进一步确认数据来源。

这名自称“wikkid”的黑客活动者向TechCrunch表示，其利用该监控软件供应商网站上的一个“微不足道”的漏洞抓取了相关数据。该人士称，自己“喜欢针对用于监视他人的应用进行攻击”，并已将获取的数据发布在一个知名黑客论坛上。

在该黑客论坛上，发布信息将这家监控服务供应商标注为Ersten Group。Ersten Group自称是一家总部位于英国的软件开发初创企业。

TechCrunch在分析泄露数据时发现，多条用于测试和客户支持的电子邮件地址指向Struktura。这是一家乌克兰公司，其官方网站与Ersten Group网站内容完全相同。数据集中最早的一条记录包含Struktura首席执行官Viktoriia Zosim的电子邮件地址，对应交易金额为1美元。

据报道，Ersten Group方面未就此事回应置评请求。Struktura首席执行官Viktoriia Zosim同样未回复置评请求。