7 VPN-udbydere beskyldes for at have lækket de personlige oplysninger fra 20 millioner brugere
Vi har ofte sagt på disse sider, at alt, hvad du læser på internettet, skal tages med en knivspids salt, og desværre har vi alt for mange eksempler på, hvorfor dette råd er mere gyldigt end nogensinde. Et team af forskere fra VPNMentor forsynede os for nylig endnu et.
Opdagelsen vedrørte i alt syv Virtual Private Network (VPN) apps, som alle lover ikke at gemme eller registrere nogen personlige og aktivitetsdata fra de mennesker, der bruger dem. I virkeligheden beviste forskerne imidlertid, at apps ikke kun optog en hel del information, men de lagde det også på en server, der udsatte den for hele verden.
Table of Contents
VPN-apps lægger brugernes data i en ubeskyttet Elasticsearch-database
Navnene på apps er UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN og Rabbit VPN. Apperne kan komme under forskellige navne, men forskerne er næsten overbeviste om, at de blev oprettet af den samme udvikler. De er alle hjemmehørende i Hong Kong, nogle af dem har lignende udseende websteder, og sidst, men ikke mindst, gemmer de alle brugernes data på den samme backend-infrastruktur.
Desværre opdagede eksperterne den sidste bit information, efter at de fandt en Elasticsearch-database, der ikke var beskyttet af en adgangskode og var vært for omkring 1,2 TB brugerdata. Hvis VPN-udbydernes påståede brugerbaser skal antages, kan antallet af berørte personer være så højt som 20 millioner, og for nogle af dem kan konsekvenserne af lækagen være ret alvorlige.
Personlige data, almindelige adgangskoder og aktivitetslogfiler blev eksponeret
Forskerne var nysgerrige efter at finde ud af, om oplysningerne var reelle. For at gøre det downloadede de en af apps (UFO VPN), tilmeldte sig og begyndte at bruge den. Øjeblik senere blev e-mail-adressen og cleartext-adgangskoden, de brugte til at registrere kontoen, vist i den usikrede Elasticsearch-database.
Foruden login-dataene fandt eksperterne en hel del personligt identificerbare oplysninger, herunder navne, fysiske adresser og hjemme-IP'er. Følsomme PayPal API-links kunne afsløre betalende kunders konti hos betalingsprocessoren, og der var også oplysninger om, hvilke servere de forbinder til, da de brugte apps.
En af forskernes mest chokerende opdagelser var imidlertid tilstedeværelsen af aktivitetslogfiler. VPNMentors eksperter delte skærmbilleder af poster, der indeholder brugerens placering, den type forbindelse, de brugte, tidsstemplet og det domæne, de forsøgte at nå. Så meget for påstandene om, at der ikke er gemt nogen browserdata.
Virkningen for brugerne kan være ødelæggende
Der var meget lidt privat om de virtuelle private netværk, der blev leveret af disse syv apps, og dette kunne være et stort problem for de mennesker, der brugte dem. Et af skærmbillederne VPNMentor delte for eksempel viser, at en person i Iran brugte VPN til at se voksne materialer. Pornografi er forbudt i Iran, og hvis denne person identificeres, kan han stå for fængsel.
Desuden bruges VPN generelt, generelt, af aktivister og mennesker, der virkelig ikke ønsker at afsløre deres sande identitet, og de syv apps, der afslørede deres data, kunne have bragt dem i en meget usikker situation. Det er en god ting, at databasen blev sikret, og informationerne ikke længere er offentligt tilgængelige. At nedbringe det var imidlertid vanskeligere end det burde have været.
VPN-udbyderne hævder, at de ikke har gjort noget galt
VPNMentors eksperter opdagede databasen den 5. juli, og de gik straks ud for at informere VPN-udbydere. Kun et af virksomhederne svarede oprindeligt, og det så ud til at være usikker på, hvad der foregår. Forskernes kommunikation med Hong Kongs Computer Emergency Response Team (CERT) bærer heller ikke nogen frugt. Fordi serveren var placeret i USA, kunne Hongkongs myndigheder kun gøre lidt ved det.
Den 15. juli blev databasen endelig taget offline, og forskerne modtog et svar fra UFO VPN, den største af de påvirkede VPN-udbydere. E-mailen sagde, at UFO VPN overså konfigurationsfejlen på grund af "personaleændringer" relateret til COVID-19-pandemien. De forsøgte at forsikre forskerne om, at de ikke gemmer brugernes adgangskoder i klartekst, og at de ikke registrerer nogen browseaktivitet. Lækagen i sig selv er et bevis på, at dette ikke var tilfældet.
I et stykke tid har der været lidt af en debat, om det er en god ide at bruge en VPN, hvis du vil skjule din identitet. Hændelser som denne hjælper bestemt ikke sagen for VPN'er, og i årenes løb har vi hørt om en hel del udbydere, der ikke gør nok for at beskytte brugernes privatliv. Når det er sagt, kan et godt konfigureret virtuelt privat netværk, der tilbydes af et firma, der ikke ønsker at spionere på dig, være yderst nyttigt ikke kun når du vil have adgang til indhold, der ikke er tilgængeligt i dit land, men også når du prøver at opretholde et niveau af anonymitet. I sidste ende beviser lækager som denne, at brugerne skal være meget forsigtige, når de vælger en VPN-udbyder.
