编者按:在数字时代,隐私安全已成为每个人不可忽视的议题。然而,一个阴暗的产业——监控软件(俗称“跟踪软件”)——却悄然滋生,它利用人们的猜忌与不安,将亲密关系变为监控现场。更令人震惊的是,这些以“安全”为名的公司,自身却屡屡成为数据泄露的源头,将成千上万无辜受害者的敏感信息暴露于网络荒野。从伴侣间的猜疑到亲子监控,这些软件不仅游走在法律与道德的灰色地带,更因糟糕的安全防护,让用户与受害者的隐私遭受双重威胁。本文梳理了近年来多起跟踪软件数据泄露事件,揭示这个行业如何从内部崩塌,以及我们为何必须对这类软件说“不”。
有一个完整的阴暗产业,专为那些想监控和窥探家人的人服务。多家应用程序制造商向嫉妒的伴侣推广和宣传他们的软件——通常被称为跟踪软件——这些伴侣可以利用这些应用程序远程访问受害者的手机。
然而,尽管这些个人数据非常敏感,越来越多的这类公司正在丢失大量数据。
根据TechCrunch的持续统计,包括最近涉及uMobix的数据泄露事件,自2017年以来,已知至少有27家跟踪软件公司遭到黑客攻击或在线泄露了客户和受害者的数据。
这不是笔误。近年来,数十家跟踪软件公司要么被黑客入侵,要么发生了重大的数据暴露事件。而且至少有四家跟踪软件公司被多次入侵。
uMobix及其关联的移动追踪应用(如Geofinder和Peekviewer)的制造商是最新一批暴露敏感客户数据的跟踪软件提供商,此前一名黑客活动分子抓取了超过50万客户的支付信息并将其发布在网上。该黑客活动分子表示,他们这样做是为了打击跟踪软件应用,效仿了近十年前入侵Retina-X和FlexiSpy的两组黑客活动分子的做法。
uMobix数据泄露事件发生在去年Catwatchful被入侵之后,该入侵事件导致至少26,000名受害者的手机数据遭到泄露。Catwatchful只是2025年发生的多起跟踪软件事件之一,这些事件还包括SpyX,以及Cocospy、Spyic和Spyzie监控业务的数据暴露事件,据一位发现漏洞从而能够访问这些数据的安全研究人员称,这些事件导致数百万受害者的消息、照片、通话记录和其他个人敏感数据暴露在网上。
在2025年之前,2024年至少发生了四起大规模的跟踪软件黑客攻击事件。
2024年最后一次跟踪软件泄露事件影响了Spytech,这是一家位于明尼苏达州、鲜为人知的间谍软件制造商,其泄露了使用其间谍软件监控的手机、平板电脑和电脑的活动日志。在此之前,历史悠久的跟踪软件应用之一mSpy发生了数据泄露,暴露了数百万张客户支持工单,其中包含数百万客户的个人数据。
此前,一名未知黑客入侵了美国跟踪软件制造商pcTattletale的服务器。该黑客随后窃取并泄露了该公司的内部数据。他们还篡改了pcTattletale的官方网站,目的是让该公司难堪。该黑客提及了TechCrunch最近的一篇文章,我们在文章中报道了pcTattletale被用于监控美国一家连锁酒店的多台前台登记电脑。
由于这次黑客攻击、数据泄露和羞辱行动,pcTattletale创始人Bryan Fleming表示他将关闭公司。今年早些时候,Fleming对计算机黑客攻击、销售和宣传用于非法用途的监控软件以及共谋的指控表示认罪。
像uMobix、Catwatchful、SpyX、Cocospy、mSpy和pcTattletale这样的消费级间谍软件应用通常被称为“跟踪软件”(或配偶软件),因为嫉妒的配偶和伴侣使用它们来秘密监控和监视他们所爱的人。
这些公司经常明确地将他们的产品宣传为通过鼓励非法和不道德行为来抓住出轨伴侣的解决方案。已有多个法庭案件、媒体调查和对家庭暴力庇护所的调查表明,网络跟踪和监控可能导致现实世界的伤害和暴力案件。
这在一定程度上解释了为什么黑客一再以其中一些公司为目标。
电子前沿基金会网络安全主任、多年来调查和打击跟踪软件的领先研究员和活动家Eva Galperin表示,跟踪软件行业是一个“软目标”。
“经营这些公司的人可能不是最谨慎的,或者并不真正关心他们产品的质量,”Galperin告诉TechCrunch。
考虑到跟踪软件被入侵的历史,这可能还是轻描淡写的说法。而且由于缺乏保护自己客户的意识——进而导致成千上万不知情受害者的个人数据暴露——使用这些软件是双重的不负责任。跟踪软件客户可能正在违法,通过非法监视来虐待他们的伴侣,除此之外,还让每个人的数据处于危险之中。
跟踪软件泄露事件的激增始于2017年,当时一群黑客接连入侵了美国的Retina-X和泰国的FlexiSpy。这两次黑客攻击揭示,这两家公司在全球共有13万客户。
当时,那些自豪地声称对入侵负责的黑客明确表示,他们的动机是揭露并希望帮助摧毁一个他们认为有毒且不道德的行业。
“我要把他们烧成灰烬,让他们绝对无处藏身,”当时一位参与的黑客告诉Motherboard。
提及FlexiSpy时,该黑客补充道:“我希望他们公司分崩离析、倒闭,并有一些时间来反思他们的所作所为。然而,我担心他们可能会试图以新的形式重生。但如果他们这样做,我会在那里。”
尽管遭到黑客攻击,并经历了多年的负面公众关注,FlexiSpy今天仍然活跃。但Retina-X的情况就不同了。
入侵Retina-X的黑客清除了其服务器,目的是阻碍其运营。该公司恢复了——但一年后再次被黑客入侵。第二次入侵几周后,Retina-X宣布关闭。
就在第二次Retina-X入侵事件几天后,黑客攻击了Mobistealth和Spy Master Pro,窃取了数GB的客户和商业记录,以及受害者被拦截的消息和精确的GPS位置。另一家跟踪软件供应商,总部位于印度的SpyHuman,几个月后遭遇了同样的命运,黑客窃取了短信和通话元数据,其中包含谁在何时给谁打电话的日志。
几周后,出现了第一起意外数据暴露事件,而非黑客攻击。
SpyFone将一个亚马逊托管的S3存储桶不加保护地放在网上,这意味着任何人都可以查看和下载短信、照片、录音、联系人、位置数据、加密的密码和登录信息、Facebook消息等。所有这些数据都是从受害者那里窃取的,其中大多数人并不知道自己被监视,更不知道他们最敏感的个人数据也在网上供所有人查看。
除了uMobix,多年来其他不负责任地将客户和受害者数据留在网上的跟踪软件公司还包括:FamilyOrbit,它将281GB的个人数据留在网上,仅用一个容易找到的密码保护;mSpy,它在2018年泄露了超过200万条客户记录;Xnore,它允许任何客户查看其他客户目标的个人数据,包括聊天消息、GPS坐标、电子邮件、照片等;以及MobiiSpy,它将25,000条录音和95,000张图像留在任何人都可以访问的服务器上。
名单还在继续:2020年,KidsGuard因服务器配置错误泄露了受害者的内容;pcTattletale,在2024年被黑客入侵之前,也曾将受害者设备实时上传的截图暴露在任何人可以访问的网站上;Xnspy,其开发者在应用程序代码中留下了凭证和私钥,允许任何人访问受害者的数据;Spyzie、Cocospy和Spyic,将受害者的消息、照片、通话记录和其他个人数据,以及客户的电子邮件地址暴露在网上;Catwatchful,暴露了客户电子邮件地址和明文密码的完整数据库。
至于其他实际被黑客入侵的跟踪软件公司,除了2025年初的SpyX,还有Copy9,一名黑客窃取了其所有监控目标的数据,包括短信和WhatsApp消息、通话录音、照片、联系人和浏览历史;LetMeSpy,在黑客入侵并清空其服务器后关闭;以及总部位于巴西的WebDetetive,其服务器也被删除,然后再次被黑客入侵。
还有OwnSpy,它为WebDetetive提供了大部分后端软件,也被黑客入侵;Spyhide,其代码中存在漏洞,允许黑客访问后端数据库和多年来窃取的约60,000名受害者的数据;Oospy,是Spyhide的更名版本,第二次关闭;以及再次出现的mSpy。最后是TheTruthSpy,一个跟踪软件应用网络,保持着至少三次被黑客入侵或泄露数据的可疑记录。
根据TechCrunch的统计,在这27家跟踪软件公司中,有8家已经关闭。
在第一个也是迄今为止唯一的案例中,联邦贸易委员会禁止SpyFone及其首席执行官Scott Zuckerman在监控行业运营,原因是此前发生了一起暴露受害者数据的安全漏洞。另一家名为SpyTrac的关联业务在TechCrunch调查后关闭。去年,联邦贸易委员会维持了对Zuckerman的禁令。
PhoneSpector和Highster这两款未闻被黑客入侵的跟踪软件应用,也在纽约总检察长指控这两家公司明确鼓励客户将其软件用于非法监控后关闭。
但公司关闭并不意味着它永远消失。就像Spyhide和SpyFone一样,一些已关闭的跟踪软件制造商背后的相同所有者和开发者只是进行了品牌重塑。
“我确实认为这些黑客攻击起到了一些作用。它们确实取得了一些成果,确实对其造成了打击,”Galperin说。“但如果你认为,如果你黑了一家跟踪软件公司,他们就会简单地挥挥拳头,诅咒你的名字,在一阵蓝烟中消失再也不见,那绝对不是实际情况。”
“当你真的设法干掉一家跟踪软件公司时,最常见的情况是,跟踪软件公司像雨后的蘑菇一样冒出来,”Galperin补充道。
也有一些好消息。安全公司Malwarebytes在2023年的一份报告中表示,根据其自身感染此类软件的客户数据,跟踪软件的使用正在减少。此外,Galperin报告称,她看到这些应用的负面评论有所增加,客户或潜在客户抱怨它们无法按预期工作。
但是,Galperin表示,安全公司可能不像以前那样擅长检测跟踪软件了,或者跟踪者已经从基于软件的监控转向了由AirTags和其他支持蓝牙的追踪器实现的物理监控。
“跟踪软件并非存在于真空中。跟踪软件是整个技术助长虐待世界的一部分,”Galperin说。
使用间谍软件监控你所爱的人不仅不道德,在大多数司法管辖区也是非法的,因为这被视为非法监控。
这已经是不使用跟踪软件的一个重要理由。此外,跟踪软件制造商已一次又一次地证明他们无法保证数据安全——无论是属于客户的数据,还是他们的受害者和目标的数据。
除了监视恋爱伴侣和配偶,有些人还使用跟踪软件应用来监控他们的孩子。虽然这种使用方式(至少在美国)是合法的,但这并不意味着使用跟踪软件窥探孩子的手机就不令人毛骨悚然和不道德。
即使以合法的方式使用,Galperin认为父母也不应在不告知孩子、未经他们同意的情况下监视他们。
如果父母确实告知了孩子并获得了他们的同意,父母也应远离不安全、不可信的跟踪软件应用,转而使用苹果手机、平板电脑和安卓设备内置的家长追踪工具,这些工具更安全且公开运行。
以下是自2017年以来被黑客入侵或泄露敏感数据的跟踪软件公司的完整列表,按时间顺序排列:
Retina-X (2017, 2018)
FlexiSpy (2017)
Mobistealth (2018)
Spy Master Pro (2018)
SpyHuman (2018)
SpyFone (2018)
Family Orbit (2018)
mSpy (2018, 2024)
Xnore (2018)
Copy9 (2018)
MobiiSpy (2019)
KidsGuard (2020)
pcTattletale (2021, 2024)
Xnspy (2022, 2026)
Spyhide (2023)
TheTruthSpy (2018, 2022, 2023, 2024)
LetMeSpy (2023)
WebDetetive (2023, 2024)
OwnSpy (2023)
Oospy (2023)
Spytech (2024)
Cocospy (2025)
Spyic (2025)
Spyzie (2025)
SpyX (2025)
Catwatchful (2025)
uMobix (2026)
