מחשבי הצ'ק-אין במספר מלונות ברחבי ארה"ב מפעילים אפליקציית גישה מרחוק, אשר התגלתה כמדליפת צילומי מסך של מידע אורחים. רוגלה ברמת צרכן נמצאה פועלת במערכות הצ'ק-אין של לפחות שלושה מלונות Wyndham ברחבי ארצות הברית: אפליקציה בשם pcTattletale, צילמה בגנבה ובאופן מתמשך צילומי מסך של מערכות ההזמנות של המלון, שהכילו פרטי אורחים ופרטי לקוחות. הודות לליקוי אבטחה ברוגלה, זמינים צילומי מסך אלו לכל אחד באינטרנט, לא רק למשתמשים המיועדים של הרוגלה.
זוהי הדוגמה העדכנית ביותר של רוגלה בדרגת צרכן החושפת מידע רגיש בגלל ליקוי אבטחה ברוגלה עצמה. זו גם הפעם השנייה הידועה ש- pcTattletale חושפת צילומי מסך של המכשירים בהם מותקנת האפליקציה. למספר אפליקציות ריגול אחרות בשנים האחרונות היו באגי אבטחה או הגדרות שגויות שחשפו את הנתונים הפרטיים והאישיים של בעלי מכשירים שלא מדעתם ובמקרים מסוימים הובילו לפעולה של הרגולטורים הממשלתיים.
pcTattletale מאפשרת לכל מי ששולט בה לצפות מרחוק במכשיר האנדרואיד או ה- Windows של היעד והנתונים שלו, מכל מקום בעולם. האתר של pcTattletale אומר שהאפליקציה "פועלת באופן בלתי נראה ברקע בתחנות העבודה ולא ניתנת לזיהוי." אולם הבאג שהתגלה מאפשר לכל משתמש אינטרט המבין כיצד פועל ליקוי האבטחה, להוריד את צילומי המסך שנלכדו על ידי הרוגלה, ישירות מהשרתים של pcTattletale.
חוקר אבטחת הסייבר אריק דייגל אמר לאנשי אתר TechCrunch שהוא הגיע למערכות הצ'ק-אין של המלון כחלק מחקירה של רוגלות ברמה של צרכנים. אפליקציות אלו מכונות לעתים קרובות כ- 'stalkerware' בשל יכולתן לשמש למעקב אחר אנשים – כולל בני זוג ושותפים במשפחה – ללא ידיעתם או הסכמתם. דייגל אמר שהוא ניסה להזהיר את pcTattletale מהנושא, אך החברה לא הגיבה והבאג נותר פעיל עד עכשיו. דייגל חשף פרטים מוגבלים על באג צילום המסך המדליף של pcTattletale בפוסט קצר בבלוג, מבלי לספק פרטים ספציפיים, כדי לא לעזור להאקרים לנצל את הבאג. לטענת דייגל, pcTattletale מצלם מעת לעת צילומי מסך חדשים של המכשיר שעליו פועלת האפליקציה, לפעמים כל כמה שניות.
צילומי המסך משני מלונות Wyndham, שנראו על ידי TechCrunch, מציגים את השמות ופרטי ההזמנות של אורחים בפורטל אינטרנט שסופק על ידי ענקית טכנולוגיית הנסיעות Sabre. צילומי המסך של פורטלי האינטרנט מציגים גם את מספרים חלקיים של כרטיסי האשראי של האורחים. צילום מסך אחר הראה גישה למערכת הצ'ק-אין השלישית של מלון Wyndham, שבאותה עת הייתה מחוברת לפורטל הניהול של Booking.com ששימש לניהול הזמנות אורחים.
לא ידוע מי שתל את האפליקציה או כיצד הוטמעה האפליקציה – אם למשל עובדי המלון הוטעו להתקין אותה, או אם בעל המלון התכוון שרוגלה תשמש לניטור העובדים. יש לציין כי pcTattletale משווקת את עצמה, בין היתר, כדרך לנטר עובדים.
מנהל מלון אחד שנפגע אמר ל- TechCrunch שהם לא מודעים לכך שהרוגלה מצלמת צילומי מסך של מחשב הצ'ק-אין שלהם. מנהלי שני המלונות האחרים לא השיבו לשיחות או מיילים של TechCrunch. דובר Wyndham – רוב מאיירס, אמר ל- TechCrunch בדוא"ל: "Wyndham הינו זכיינות, כלומר כל המלונות שלנו בארה"ב הם בבעלות עצמאית. Wyndham לא יכולה לומר אם היא מודעת לכך שהשימוש ב- pcTattletale היה במחשבי דלפק הקבלה של מלונות המותגים שלה, או אם השימוש ב- pcTattletale אושר על ידי המדיניות של Wyndham עצמה."
Booking.com אמרה ל- TechCrunch שהמערכות שלה לא נפגעו על ידי הרוגלה, אך המקרה הזה נראה כמו דוגמה לאופן שבו ממוקדות מערכות מחשוב של מלונות על ידי פושעי סייבר כדי להשיג גישה למידע ונתונים של המלון: "למרבה הצער, חלק משותפי האירוח שלנו היו למוקד מתקפות סייבר באמצעות טקטיקות דיוג משכנעות ומתוחכמות מאד, המעודדות אותם ללחוץ על קישורים או להוריד קבצים מצורפים מחוץ למערכת שלנו, המאפשרים לנוזקות להיטען על המחשבים שלהם ובמקרים מסוימים, להוביל לגישה בלתי מורשית למחשבים שלהם" – אמרה אנג'לה קאוויס, דוברת Booking.com והוסיפה: "פושעי הסייבר מנסים להתחזות לשותף (או אפילו ל- Booking.com עצמה) – לפעמים בצורה משכנעת מאוד, כדי לבקש תשלום מלקוחות מחוץ למדיניות שבאישור ההזמנה שלהם."
חדשות ה- BBC דיווחו בדצמבר האחרון כי פושעי סייבר השיגו גישה לפורטלי הניהול של בתי מלון המשתמשים ב- Booking.com. עם הגישה הזו, שלחו פושעי הסייבר הודעות ללקוחות מהאפליקציה של החברה כדי לרמות אותם לשלם להם במקום למלון. כרגע לא ידוע אם pcTattletale או רוגלות אחרות קשורות לתקריות קודמות ו- Booking.com אמרה שהיא חוקרת את הנושא.
קיימת היסטוריה ארוכה של אפליקציות stalkerware המשווקות את עצמן לכאורה לשימושים לגיטימיים. מעקב אחר הילדים הוא חוקי בארצות הברית – אבל ניתן להשתמש באפליקציות כדי לרגל אחר אנשים ללא ידיעתם, לרוב בני זוג ושותפים – דבר שאינו חוקי: pcTattletale נמכרת במסווה של תוכנת ניטור ילדים ועובדים, אך החברה גם מקדמת את האפליקציה שלה לשימוש נגד בני זוג שחוששים שבן הזוג שלהם עלול לבגוד.
pcTattletale מפתחת אפליקציות ריגול עבור אנדרואיד ו- Windows ושתי האפליקציות דורשות גישה פיזית למכשיר היעד כדי להתקין אותן. pcTattletale מספקת את אפליקציית תוכנת הריגול של Windows כהורדה בקליק אחד, שניתן להתקין תוך מספר שניות. pcTattletale מציעה גם שירות בשם 'We Do It For You', שלדברי החברה יסייע להתקין את תוכנת הריגול במחשב היעד מטעם הלקוח: "הכנסנו את pcTattletale למחשב ה- Windows שלהם בשבילך, פשוט בחר זמן", אומר האתר של pcTattletale ללקוחות בפורטל שלו וכן: "תקבל אימייל עם הנחיות לגישה למחשב שלהם. זה לוקח לנו בערך 10 דקות, ללא השארת עקבות. לאחר מכן נשלח ללקוח קישור כדי שהטכנאי שלנו [sic] יוכל לגשת למחשב."
Stalkerware פועלת במרחב משפטי עכור בארה"ב, שבו החזקת רוגלה כשלעצמה אינה בלתי חוקית, אך השימוש ברוגלות נגד אנשים ללא ידיעתם והסכמתם אינו חוקי. התובעים בארה"ב האשימו בעבר מפתחי תוכנות בגין סיוע במעקב ללא הסכמה, כפי ש- pcTattletale טוענת שהיא מספקת.