Företaget Mspy utvecklar en spiontjänst för föräldrar. Genom att ansluta barns Icloud-konton till tjänsten kan föräldrarna följa allt de gör på sina Iphone. Nu visar det sig att företaget inte tar sin egen säkerhet på speciellt stort allvar.

Brian Krebs på Krebs on Security skriver att säkerhetsforskaren Nitish Shah har upptäckt en databas öppen mot webben som utan någon autentisering gav tillgång till en mängd uppgifter om alla företagets kunder. Det gäller lösenord, krypteringsnycklar, textmeddelanden, kontakter, samtalshistorik och platsuppgifter. Dessutom ger den privata nyckeln tillgång till meddelanden på Whatsapp och Facebook Messenger. Med andra ord nästan hela barnens digitala liv.

Mspy hackades även 2015, och försökte först förneka det innan det efter en vecka erkände hacket för BBC.

Varken BBC eller Brian Krebs har lyckats ta reda på var Mspy är baserat. Företaget hade tidigare en adress i London och påstår numera att det följer tjeckiska lagar för EU-kunder, men det är okänt om det faktiskt finns någon på plats inom EU som kan ställas till svars för de potentiellt grova brotten mot GDPR.

Det är olagligt att olovligen spionera på andra, oavsett om det är dina egna barn eller någon annan. I Sverige har Högsta domstolen slagit fast det i en dom från 2017 där en pappa dömdes till böter för att ha installerat en liknande app på sin 13-åriga sons mobil, och GDPR har bara gjort kravet på integritetsskydd starkare.