Um dos aplicativos de espionagem mais conhecidos da internet, o TheTruthSpy, voltou a ser alvo de críticas após a descoberta de uma falha de segurança grave. O problema, identificado pelo pesquisador independente Swarang Wade, permite que qualquer pessoa redefina a senha de um usuário e assuma o controle da conta — acessando informações pessoais de forma ilegal.
Esse tipo de aplicativo, chamado de stalkerware, é usado para monitorar celulares, geralmente sem o consentimento da vítima. No caso do TheTruthSpy, isso significa que os dados de milhares de pessoas podem estar em risco, já que a vulnerabilidade afeta não só o app principal, mas também outros serviços derivados da mesma base de código, como Copy9, iSpyoo e MxSpy.
O TechCrunch, que confirmou a falha, lembra que esta não é a primeira vez que o TheTruthSpy expõe dados. Desde 2021, já foram registradas várias violações envolvendo a ferramenta, incluindo o vazamento de informações privadas de mais de 400 mil vítimas em um único episódio. No final de 2023, outro incidente revelou os dados de mais 50 mil pessoas.
A situação fica ainda mais preocupante porque, além de facilitar espionagem em relacionamentos abusivos e outros contextos ilegais, o TheTruthSpy e seus operadores demonstram baixa responsabilidade na proteção das informações coletadas. Quando questionado sobre o problema mais recente, Van (Vardy) Thieu, responsável pela operação, afirmou que o código-fonte “foi perdido” e que não poderia corrigir o erro.
Mesmo com a má reputação, a plataforma segue ativa. Parte das operações foi renomeada sob novos nomes, como PhoneParental e MyPhones.app, mas continuam usando a mesma infraestrutura vulnerável, conhecida como JFramework.
Esse histórico mostra um padrão claro: além de levantar sérias questões éticas, ferramentas de stalkerware como o TheTruthSpy também colocam em risco os próprios dados que armazenam. Em outras palavras, representam uma ameaça tanto para as vítimas espionadas quanto para quem as utiliza.
