Met de spionage-app mSpy houden mensen in het geheim de mobiele telefoons van hun partners in de gaten. Dit is illegaal. Nu geeft een lek inzicht in de communicatie met klanten. Dit laat zien hoe gewetenloos de daders zich richten op degenen die het dichtst bij hen staan – zelfs in Duitsland.
Ik vertrouw mijn vriendin niet, ik moet haar Snapchat echt zien.
Wij willen graag toegang hebben tot de WhatsApp van (onze zoon).
Ik wil graag de telefoon van mijn vriendin controleren, Android. Ze zal er niets van merken.
Deze berichten mogen nooit openbaar worden gemaakt. Mensen uit Duitsland schreven naar mSpy, een bedrijf dat spionagesoftware aan particulieren verkoopt. U wilt mSpy gebruiken om uw partner of kinderen in de gaten te houden.
Het zijn niet alleen veiligheidsautoriteiten die ons dataverkeer monitoren. Ook veel particulieren maken gebruik van digitale spionagetools. Dit wordt bewezen door gelekte berichten van het klantenondersteuningssysteem van het bedrijf, die netzpolitik.org samen met SWR heeft geëvalueerd.
Oproepen, e-mails, chats, contacten, agenda’s, afbeeldingen, video’s, browsergeschiedenis, locatie, toetsaanslagen: dit alles kan worden gevolgd met mSpy. Zelfs de microfoon en camera zijn op afstand te activeren, belooft mSpy.
De mensen die worden gemonitord mogen daar niets van merken. De app draait op de achtergrond en blijft onzichtbaar op je mobiele telefoon , adverteert het bedrijf. De telefoon wordt een bug.
Duizenden aanvragen uit Duitsland
Op het eerste gezicht is mSpy een app voor ouders die de mobiele telefoon van hun kind in de gaten willen houden. En zolang volwassen doelwitten instemmen met de surveillance, is mSpy ook “volledig legaal”. Dat staat tenminste op de website van het bedrijf.
Maar uit het nieuws wordt al snel duidelijk: veel gebruikers willen de app gebruiken om partners ongemerkt te monitoren. Dit is illegaal in Duitsland.
De dataset die we hebben geëvalueerd omvat 3,6 miljoen supporttickets met e-mails en chatberichten naar de klantenservice. Er zijn ook talloze bijgevoegde bestanden. De Zwitserse hacker Maia Arson Crimew gaf het pakket aan de organisatie DDoSecrets, die het in mei 2024 publiceerde . Ze zegt dat de gegevens naar haar zijn gelekt. Het onderzoeksteam heeft contact opgenomen met verschillende mensen van wie de berichten waren opgenomen. U heeft bevestigd dat de gegevens echt zijn.
De oudste berichten komen uit 2014, de meest recente uit mei 2024. Daartoe behoren ruim 24.000 e-mailuitwisselingen met mensen met een .de-e-mailadres. In totaal worden ruim 42.000 berichten in het Duits geschreven.
Gebruikers vragen om hulp bij de installatie, vragen hoe mSpy kan worden gebruikt om heimelijk anderen te bespioneren en klagen wanneer de verbinding met een bewaakt apparaat mislukt. En de klantenservice doet er alles aan om te helpen .
Van taxichauffeur tot officier van justitie
De mensen die geïnteresseerd zijn in spionagesoftware komen uit de hele samenleving. Denk hierbij aan advocaten voor het strafrecht, maar ook aan fitnesstrainers en taxichauffeurs. Een verzekeringsmakelaar. Een BMW-dealer. Een meester-metselaar. Een Airbus-ingenieur. De exploitant van een schoonmaakbedrijf. Een politieagent. Een officier van justitie.
De berichten bevatten ook contactgegevens van mensen die denken dat ze worden gemonitord met mSpy, zoals Ulla*. Ze had destijds een klacht ingediend tegen haar man omdat hij haar zou hebben bespioneerd. Een onderzoeker schreef vervolgens naar mSpy.
Ulla is midden vijftig, draagt een designerbril en heeft een elegant kort kapsel. In het videogesprek komt ze kalm over als ze over de gebeurtenissen vertelt. Misschien komt het omdat haar verhaal jaren teruggaat, zegt ze. Ze woont nu gescheiden van haar ex-man en is hertrouwd.
Het toezicht begon in 2014. Haar ex-man had altijd de controle, meldt Ulla. Ze mocht niet werken; ze moest thuis blijven bij de kinderen. Ze had geen eigen account. Ze mocht alleen met hem mee naar doktersafspraken. “Hij gebruikte geweld om mij onder controle te houden”, zegt ze.
Nadat Ulla had gezegd dat ze uit elkaar wilde gaan, escaleerde de controlewoede van de man. ‘Hij wist van doktersafspraken, ontmoetingen met vrienden en telefoontjes die ik had gepleegd.’ Hij reisde veel voor zijn werk. “Ik dacht: hij is nu niet in de stad. Hoe weet hij dat?”
“Ik zal dit voor je doen, geen probleem.”
vraagt Ulla aan haar broer. Hij waarschuwt dat haar man mogelijk een spionage-app op haar mobiele telefoon heeft geïnstalleerd. Ulla herinnert zich dat haar man urenlang bezig was met het instellen van haar nieuwe Samsung-mobiele telefoon nadat het haar niet lukte. “Hij zei: kom maar, ik doe het wel voor je, geen probleem.” Ze vond er toen niets van.
Ulla wordt later echter achterdochtig. Ze koopt een tweede apparaat, ‘een prepaid-ding, zonder franje’, en verbergt het. ‘Om mijn moeder of de advocaat te bellen.’ Gedurende deze tijd slaapt ze met haar mobiele telefoon onder haar kussen. Ze doet de deur van de kamer op slot.
Als Ulla met haar kinderen in haar eigen appartement verhuist, krijgt ze een nieuwe telefoon met een nieuw nummer. Ze rijdt naar een parkeerplaats langs de snelweg en gooit de oude mobiele telefoon in de prullenbak.
Ulla weet niet of haar ex-man mSpy daadwerkelijk op haar mobiele telefoon heeft geïnstalleerd. De politie, bij wie ze destijds aangifte deed, vond geen sporen van de app op haar toestel. Ulla’s veronderstelling is gebaseerd op haar eigen online onderzoek naar spionage op mobiele telefoons. mSpy is altijd de eerste hit.
De man beheert de apparaten
Dat de man de apparaten en accounts beheert is typerend voor een heteroseksuele relatie, ook al kennen de mannen elkaar niet per se beter, zegt Leonie Tanczer. Ze is professor aan het University College London, waar ze onderzoek doet naar het verband tussen gender en technologie.
Net als Ulla denken de getroffenen er meestal niets van. Ze zijn blij met de hulp. “Daders, en soms ook vrouwelijke daders, kunnen hiervan profiteren”, zegt Tanczer.
Hallo, ik wil mijn man in de gaten houden.
Zou hij erachter kunnen komen dat ik naar hem kijk?
De gegevens bevatten ook berichten van mannen die bang zijn bespioneerd te worden. Dieter schreef een van deze berichten. In gesprekken met zijn toenmalige vrouw in 2016 had hij het gevoel dat zij meer over hem wist dan zou moeten. Ze noemde details uit telefoontjes, wist wanneer hij waar was, kende de inhoud van zijn e-mails, zegt de inmiddels 67-jarige.
Een vriend met technische expertise onderzocht vervolgens zijn telefoon en vond een kwaadaardig programma. “Dat was echt geweldig. En we kregen het programma ook niet van de telefoon; het kon niet worden verwijderd.” Een grote schok voor Dieter. ‘Maar toen was het ook louterend omdat ik besefte waarom mijn vrouw zoveel dingen wist.’
“Word ik nog steeds gefilterd?”
Na de ontdekking schreef Dieter een brief aan de fabrikant wiens spionagesoftware volgens zijn vriend op zijn telefoon stond: mSpy. Met een nieuw e-mailadres zodat zijn vrouw er niet achter komt. Vraag mSpy om hem te helpen voorkomen dat de app op zijn apparaten wordt uitgevoerd.
“De situatie is zo ingewikkeld dat zelfs pogingen om het te verwijderen mij niet hebben geholpen, omdat mijn vrouw herhaaldelijk mijn mobiele telefoon kan overnemen en vervolgens opnieuw spyware kan installeren”, schrijft hij. Met dit bericht vonden we hem in het datalek van de klantenservice van mSpy. Volgens Dieter reageerde mSpy niet.
Dieter zorgde uiteindelijk voor een nieuwe computer, een nieuwe mobiele telefoon en een nieuwe simkaart. Om te voorkomen dat hij de malware mee zou nemen als hij overstapte op de nieuwe apparaten, typte hij de telefoonnummers van zijn contacten individueel in, zegt hij.
Hij is nu gescheiden van zijn vrouw. Maar zelfs nu, acht jaar later, heeft Dieter nog steeds een ongemakkelijk gevoel. “Is mijn telefoon echt schoon of word ik nog steeds gefilterd?” vraagt hij zich af. Het incident “bracht hem in een fobie”.
De spion in je eigen huishouden
Experts omschrijven de geheime surveillance die mSpy mogelijk maakt als digitaal geweld . Programma’s als mSpy noemen ze spyware of stalkerware: software voor stalking. mSpy is slechts een van de vele producten op deze markt. Beveiligingsonderzoekers spreken van een hele industrie .
In de meeste gevallen worden dergelijke apps gebruikt voor het monitoren van familie of relaties. De toegangsvoorwaarden zijn ideaal, vooral voor stellen die in hetzelfde huishouden wonen, zegt onderzoeker Leonie Tanczer. Omdat de app niet op afstand kan worden geïnstalleerd. Normaal gesproken moet u de mobiele telefoon in uw hand houden, tenminste voor een paar minuten. “Als je samenwoont, is het veel gemakkelijker om een programma als dit te installeren dan als je alleen maar aan het daten bent”, zegt Tanczer.
Wachtwoorden worden ook veel vaker met elkaar gedeeld in een relatie. Uit praktische overwegingen, zegt Tanczer. Het wordt problematisch als de vertrouwensrelatie wordt misbruikt. Eerst delen de partners bepaalde accounts, waarna deze kennis wordt gebruikt om de ander in het geheim te monitoren.
Spionage als digitaal relatiegeweld
“Ik denk dat we een grote discussie over toestemming nodig hebben”, zegt Tanczer, waarmee hij een parallel trekt met de debatten die de afgelopen jaren hebben plaatsgevonden over toestemming tijdens seks. Net zoals bij de seks elke keer om toestemming van de ander moet worden gevraagd, betekent een doorgegeven wachtwoord niet dat je het opnieuw kunt gebruiken.
In de relaties die ze bestudeerde, kwam digitaal geweld nooit alleen voor, zegt Tanczer. “Ze maakt altijd deel uit van een grotere cirkel van geweld.” In alle gevallen trof zij technisch toezicht aan, samen met factoren als fysiek, seksueel of psychisch geweld. “We praten niet over technologiemisbruik of digitaal geweld als een afzonderlijk fenomeen. Het is gewoon een uitbreiding naar een andere sfeer.”
“Net als verkrachting”
Consensus was ook belangrijk voor Manuel*, die zich ongeveer een jaar lang met mSpy liet bespioneren. Als onderdanig deel van een BDSM-relatie stond hij toe dat zijn partner hem in de gaten hield. In de gevallen die het onderzoeksteam aantreft in de berichten aan de klantenservice is deze open en besproken monitoring een op zichzelf staand geval.
Ook wij hebben jou steun nodig in 2025, gun ons een extra bakkie koffie groot of klein.
Dank je en proost?
Wij van Indignatie AI zijn je eeuwig dankbaar
“Het was een kick zolang ik het gevoel had dat degene die mij in de gaten hield mij goed behandelde”, zegt Manuel, maar: “Als ik een volkomen normale relatie had gehad en er achteraf achter was gekomen dat ze mij had overladen met een app Op deze manier zou dat een enorme vertrouwensbreuk zijn geweest.”
Het is vergelijkbaar met bondage en andere bdsm-spellen: “Bij toestemming kan het goed voelen. Maar als de ander het er niet mee eens is, is het net als verkrachting.”
Vragen van onderzoekers
De persoon heeft uw product op de telefoon van iemand anders geïnstalleerd, controleerde de eigenaar van de telefoon en stalkte de persoon.
Er ligt hier een strafrechtelijke klacht wegens het bespioneren van gegevens. Het werd bekend dat de echtgenoot van een getrouwd stel zijn vrouw bespioneerde met behulp van uw mSpy-software.
We willen u eraan herinneren dat mSpy een volledig legale applicatie is en dat al onze klanten de toestemming van de doelwitten moeten hebben om mSpy te installeren. Als u vermoedt dat iemand uw apparaat illegaal in de gaten houdt, raden we u ten zeerste aan rechtstreeks contact op te nemen met de persoon die een dergelijke applicatie tegen u zou kunnen gebruiken. Wij moedigen onze klanten niet aan om onze software illegaal te gebruiken.
– Reactie van de klantenondersteuning op een onderzoeksverzoek voor fraude en stalking
Dat mSpy regelmatig wordt gebruikt voor niet-consensuele surveillance in relaties blijkt ook uit de vragen die de Duitse politie naar de klantenservice heeft gestuurd. In ten minste vijf gevallen hebben de autoriteiten stalking en dataspionage onderzocht. Het ging altijd over relatiegeweld: vrouwen die zeiden dat ze in de gaten werden gehouden door hun partner of ex-partner.
De onderzoekers beschrijven de zaken en vragen mSpy om informatie over de verdachte. In dergelijke gevallen zijn bedrijven op grond van het Wetboek van Strafvordering verplicht informatie te verstrekken.
In één geval kan de onderzoeker het klantnummer verstrekken, en mSpy geeft vervolgens details over het gebruikersaccount van de verdachte en de telefoon die werd gemonitord, zoals het apparaatmodel en het serienummer.
In de regel volgt echter een standaardafwijzing: Stuur alstublieft meer gedetailleerde informatie. mSpy beschermt de privacy van zijn gebruikers. Zonder het klantnummer, het bestelnummer, de besteldatum en de registratie-e-mail kan mSpy geen informatie verstrekken over individuele accounts. Het is echter mogelijk dat mSpy op de autoriteiten heeft gereageerd op een manier die niet in de dataset te herleiden is.
netzpolitik.org vroeg de bedrijven achter mSpy om een verklaring – onder meer over de vraag hoe mSpy omgaat met vragen van opsporingsautoriteiten. Wij kregen geen antwoord.
Surveillance verpakt als zorg
We hebben veel mensen aangeschreven die zichzelf in de berichten identificeren als klanten of geïnteresseerden voor mSpy. We wilden weten: waarom wilden ze in het geheim anderen monitoren? Realiseert u zich dat u hiermee mogelijk een strafbaar feit pleegt?
Alleen Dimitri* antwoordde ons. Hij zei dat hij ervoor wilde zorgen dat zijn tiener niet op zijn mobiele telefoon naar pornografie en drugs zocht. Hij sloot een abonnement af, maar kon uiteindelijk de spionage-app niet gebruiken. De Android-telefoon van zijn kind verhinderde de installatie .
Voor een lopend onderzoeksproject spreekt Leonie Tanczer ook daders die vanwege partnergeweld moeten deelnemen aan een rehabilitatieprogramma in Groot-Brittannië. “Ik vond het interessant om de gelijkenis in de houding van daders en ouders uit te leggen waarom ze monitoren”, zegt ze. “In beide contexten wordt de nadruk gelegd op veiligheid.”
In hun zelfperceptie doen de mensen die partners monitoren niets verkeerd, zegt Tanczer. “‘Ik wil er voor je zijn.’ Of: ‘Ik wil gewoon zeker weten dat je veilig bent.’ Dit is vaak de manier waarop de daders het verpakken.”
Wantrouwen en jaloezie
In hun vragen aan de klantenservice beschrijven gebruikers echter minder behoefte aan zorg. In plaats daarvan domineert één motief: jaloezie. Velen zijn bang om bedrogen te worden, willen hun partners veroordelen en hopen op “duidelijkheid” of “antwoorden”.
Ze formuleren hun boodschappen met grote urgentie. Een vrouw schrijft bijvoorbeeld: “Ik wil dat alles nu werkt, alsjeblieft, want ik heb het absoluut nodig.” We hebben in de dataset een aantal mensen gevonden die op deze manier gedreven zijn.
Veel mensen communiceren met het ondersteunend personeel alsof zij hun naaste vertrouwelingen zijn: volkomen afstandelijk. Een man schrijft dat zijn vrouw waarschijnlijk een affaire heeft met haar collega. “Ik heb geen bewijs, mijn gevoel zegt me dat ze me bedriegt.”
Een boeket van misdaden
Het maakt niet uit hoe gebruikers hun acties zelf beoordelen: iedereen die in het geheim een spionage-app op het apparaat van een partner installeert, begaat in Duitsland meestal een strafbaar feit, legt Nico Kuhlmann uit, advocaat bij het Hamburgse advocatenkantoor Hogan Lovells International.
Hier kunnen verschillende misdaden samenkomen. Allereerst moet u ongeautoriseerde toegang krijgen tot een apparaat dat meestal met een wachtwoord is beveiligd. Volgens de Duitse wet wordt dit beschouwd als het bespioneren van gegevens. Bovendien kan geheim toezicht strafbaar zijn als stalking.
Als de microfoon of camera bovendien op afstand wordt geactiveerd, ontstaan er volgens Kuhlmann extra strafbare feiten, zoals het schenden van de vertrouwelijkheid van het woord of het meest persoonlijke levensgebied door het maken van foto’s . Afhankelijk van uw eerdere veroordelingen en de context kunt u maximaal drie jaar gevangenisstraf krijgen.
Hierop zou alleen een uitzondering bestaan als de beoogde persoon instemde met de surveillance. Kuhlmann zegt echter: “De eerste vraag die ik mezelf dan zou stellen: was de toestemming vrijwillig of werd deze gedwongen?” Toestemming die voortkomt uit een situatie van dwang – bijvoorbeeld omdat iemand anders zijn partner niet juridisch waardeloos het huis laat verlaten. .
Iedereen die een mobiele telefoon in de gaten houdt, houdt veel mensen in de gaten
Kuhlmann heeft nog een ander punt om te overwegen: zelfs degenen die een mobiele telefoon bespioneren met toestemming van de beoogde persoon, zoals in het geval van Manuel gebeurde, zullen altijd berichten en afbeeldingen van derden te zien krijgen. In de regel zouden ze het er niet mee eens zijn, zegt Kuhlmann. Wat op zijn beurt het monitoren ervan tot een strafbaar feit maakt. Dit betekent: Manuels partner pleegde ook een strafbaar feit als zij zijn communicatiepartners bespioneerde.
Uit onderzoek van de Duitse onderzoeksautoriteiten blijkt dat in ieder geval een deel van de betrokkenen de zaak meldt. Veel van de getroffenen doen dit echter niet omdat ze het stressvol vinden en het melden ervan niet altijd succesvol is, zegt Elizabeth Ávila González van de Federale Vereniging van Vrouwenadviescentra. Bovendien zijn getroffenen vaak huiverig om hun telefoon ter analyse aan de politie af te geven, omdat ze dan geen contact meer hebben met hun ondersteuningsnetwerk.
Niet geschikt voor het volgen van kinderen
En hoe zit het met het monitoren van uw eigen minderjarige kinderen: de legale use case die mSpy promoot? De dataset bevat veel verzoeken van ouders die mSpy willen gebruiken om in het geheim de apparaten van hun kinderen te monitoren of dat al doen.
Juridisch gezien is dit een grijs gebied omdat ook kinderen recht hebben op privacy, benadrukt advocaat Nico Kuhlmann. Bovendien is communicatie van derden ook in zo’n geval altijd een bijvangst.
Advocaat Olivia Alig wijst in haar richtlijnen voor ouders op deze spanning : Bij twijfel moeten ouders hun wettelijk vastgelegde toezichtplicht afwegen tegen de rechten van het kind. Deze vloeien voort uit het VN-verdrag inzake de rechten van het kind, zoals het recht op informatieve zelfbeschikking.
Een enorme vertrouwensbreuk
De Zwitserse hacker Maia Arson Crimew werkt al jaren met spionage-apps en waarschuwt: “Je eigen kinderen in de gaten houden met tools als mSpy is een verregaande inbreuk op de privacy en doorgaans een enorme vertrouwensbreuk.”
Ook spionageapps zijn niet goed beveiligd, waardoor de gegevens regelmatig niet alleen bij klanten terechtkomen, maar openlijk op internet terechtkomen. Volgens onderzoek van TechCrunch zijn sinds 2017 ruim twintig van dergelijke aanbieders gehackt of door nalatigheid de gegevens van hun klanten openbaar gemaakt.
mSpy alleen al is al drie keer gehackt. In 2015 kwamen gebruikersgegevens voor het eerst op het dark web terecht. Het grootste probleem werd in 2018 bekend: een beveiligingsonderzoeker had toegang tot berichten en locatiegegevens van degenen die werden gemonitord. In mei 2024 volgde het derde lek: de dataset die netzpolitik.org samen met de SWR voor dit onderzoek onderzocht.
Onderzoeker Leonie Tanczer maakt zich om een andere reden zorgen. “Natuurlijk begrijp ik dat veel ouders onzeker zijn over wat hun kinderen online doen. Maar ik denk dat we als samenleving niet echt een discussie hebben gehad over wat de grenzen zouden moeten zijn voor surveillance.”
Een technologische oplossing zou het vertrouwensprobleem niet oplossen, zegt Tanczer. “Als je denkt dat je het achter de schermen moet installeren, dan is er vanaf het begin iets mis, toch?”
Dit onderzoek is uitgevoerd in samenwerking met de SWR . Samenwerking bij data-analyse: Matthias Mehldau . We hebben de namen gemarkeerd met * gewijzigd.