7 πάροχοι VPN κατηγορούνται για διαρροή των προσωπικών πληροφοριών 20 εκατομμυρίων χρηστών
Συχνά είπαμε σε αυτές τις σελίδες ότι ό, τι διαβάζετε στο Διαδίκτυο πρέπει να λαμβάνεται με λίγο αλάτι και, δυστυχώς, έχουμε πάρα πολλά παραδείγματα για τους οποίους αυτή η συμβουλή είναι πιο έγκυρη από ποτέ. Μια ομάδα ερευνητών από το VPNMentor μας έδωσε πρόσφατα ένα ακόμη.
Η ανακάλυψη αφορούσε συνολικά επτά εφαρμογές εικονικού ιδιωτικού δικτύου (VPN) που όλοι υπόσχονται να μην αποθηκεύσουν ή να καταγράψουν προσωπικά δεδομένα και δεδομένα δραστηριότητας των ατόμων που τα χρησιμοποιούν. Στην πραγματικότητα, ωστόσο, οι ερευνητές απέδειξαν ότι οι εφαρμογές δεν καταγράφουν μόνο πολλές πληροφορίες, αλλά τις έβαλαν επίσης σε έναν διακομιστή που τις εξέθετε σε ολόκληρο τον κόσμο.
Table of Contents
Οι εφαρμογές VPN τοποθετούν τα δεδομένα των χρηστών σε μια μη προστατευμένη βάση δεδομένων Elasticsearch
Τα ονόματα των εφαρμογών είναι UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN και Rabbit VPN. Οι εφαρμογές ενδέχεται να έχουν διαφορετικά ονόματα, αλλά οι ερευνητές είναι σχεδόν πεπεισμένοι ότι δημιουργήθηκαν από τον ίδιο προγραμματιστή. Όλοι εδρεύουν στο Χονγκ Κονγκ, ορισμένοι από αυτούς έχουν παρόμοιες ιστοσελίδες και, τελευταίο αλλά όχι λιγότερο σημαντικό, αποθηκεύουν όλα τα δεδομένα των χρηστών στην ίδια υποδομή backend.
Δυστυχώς, οι ειδικοί ανακάλυψαν το τελευταίο κομμάτι πληροφοριών αφού βρήκαν μια βάση δεδομένων Elasticsearch που δεν προστατεύεται από κωδικό πρόσβασης και φιλοξένησε περίπου 1,2 TB δεδομένων χρήστη. Εάν πιστεύεται ότι οι βάσεις χρηστών που ισχυρίζονται οι πάροχοι VPN, ο αριθμός των ατόμων που επηρεάζονται θα μπορούσε να είναι τόσο υψηλός όσο 20 εκατομμύρια, και για ορισμένα από αυτά, οι συνέπειες της διαρροής θα μπορούσαν να είναι αρκετά σοβαρές.
Προσωπικά δεδομένα, κωδικοί πρόσβασης απλού κειμένου και αρχεία καταγραφής δραστηριότητας εκτέθηκαν
Οι ερευνητές ήταν περίεργοι να μάθουν αν οι πληροφορίες ήταν πραγματικές. Για να το κάνουν αυτό, κατέβαλαν μία από τις εφαρμογές (UFO VPN), υπέγραψαν και άρχισαν να το χρησιμοποιούν. Λίγες στιγμές αργότερα, η διεύθυνση email και ο κωδικός πρόσβασης εκκαθάρισης κειμένου που χρησιμοποίησαν για την εγγραφή του λογαριασμού εμφανίστηκαν στη μη ασφαλή βάση δεδομένων Elasticsearch.
Εκτός από τα δεδομένα σύνδεσης, οι ειδικοί βρήκαν πολλές προσωπικά αναγνωρίσιμες πληροφορίες, συμπεριλαμβανομένων ονομάτων, φυσικών διευθύνσεων και IP οικίας. Οι ευαίσθητοι σύνδεσμοι API PayPal θα μπορούσαν να αποκαλύψουν λογαριασμούς πελατών που πληρώνουν στον επεξεργαστή πληρωμών και υπήρχαν επίσης πληροφορίες σχετικά με τους διακομιστές στους οποίους συνδέθηκαν όταν χρησιμοποίησαν τις εφαρμογές.
Ωστόσο, μία από τις πιο συγκλονιστικές ανακαλύψεις των ερευνητών ήταν η παρουσία αρχείων καταγραφής δραστηριοτήτων. Οι ειδικοί του VPNMentor μοιράστηκαν στιγμιότυπα οθόνης εγγραφών που περιέχουν την τοποθεσία του χρήστη, τον τύπο σύνδεσης που χρησιμοποιούσαν, τη χρονική σήμανση και τον τομέα στον οποίο προσπαθούσαν να αποκτήσουν πρόσβαση. Τόσο για τους ισχυρισμούς που δεν αποθηκεύονται δεδομένα περιήγησης.
Ο αντίκτυπος για τους χρήστες θα μπορούσε να είναι καταστροφικός
Υπήρχε πολύ λίγο ιδιωτικό για τα εικονικά ιδιωτικά δίκτυα που παρέχονται από αυτές τις επτά εφαρμογές και αυτό θα μπορούσε να είναι ένα μεγάλο πρόβλημα για τα άτομα που τα χρησιμοποιούσαν. Ένα από τα στιγμιότυπα οθόνης που μοιράστηκε το VPN, ο μέντορας, για παράδειγμα, δείχνει ότι ένα άτομο στο Ιράν χρησιμοποιούσε το VPN για να δει υλικό ενηλίκων. Η πορνογραφία απαγορεύεται στο Ιράν και εάν το άτομο αυτό αναγνωριστεί, θα μπορούσε να αντιμετωπίσει φυλάκιση.
Επιπλέον, τα VPN, γενικά, χρησιμοποιούνται συχνά από ακτιβιστές και άτομα που πραγματικά δεν θέλουν να αποκαλύψουν την πραγματική τους ταυτότητα και οι επτά εφαρμογές που εξέθεσαν τα δεδομένα τους θα μπορούσαν να τα βάλουν σε μια πολύ επισφαλή κατάσταση. Είναι καλό που η βάση δεδομένων ήταν ασφαλής και οι πληροφορίες δεν είναι πλέον προσβάσιμες στο κοινό. Το να το κατεβάσεις ήταν πιο δύσκολο από ό, τι θα έπρεπε.
Οι πάροχοι VPN ισχυρίζονται ότι δεν έχουν κάνει τίποτα λάθος
Οι ειδικοί του VPNMentor ανακάλυψαν τη βάση δεδομένων στις 5 Ιουλίου και αμέσως ξεκίνησαν να ενημερώσουν τους παρόχους VPN. Μόνο μία από τις εταιρείες απάντησε αρχικά και φαινόταν να μην είναι σίγουρη για το τι συμβαίνει. Η επικοινωνία των ερευνητών με την ομάδα αντιμετώπισης έκτακτης ανάγκης για υπολογιστές (CERT) του Χονγκ Κονγκ δεν απέδωσε κανένα καρπό. Επειδή ο διακομιστής βρισκόταν στις ΗΠΑ, οι αρχές του Χονγκ Κονγκ δεν μπορούσαν να κάνουν τίποτα.
Στις 15 Ιουλίου, η βάση δεδομένων λήφθηκε τελικά εκτός σύνδεσης και οι ερευνητές έλαβαν απάντηση από το UFO VPN, το μεγαλύτερο από τους παρόχους VPN που επηρεάστηκαν. Το email ανέφερε ότι το UFO VPN παραβλέπει το λάθος διαμόρφωσης λόγω "αλλαγών προσωπικού" που σχετίζονται με την πανδημία COVID-19. Προσπάθησαν να διαβεβαιώσουν τους ερευνητές ότι δεν αποθηκεύουν τους κωδικούς πρόσβασης χρηστών σε απλό κείμενο και ότι δεν καταγράφουν καμία δραστηριότητα περιήγησης. Η ίδια η διαρροή είναι απόδειξη ότι αυτό δεν συνέβη.
Για λίγο τώρα, έχει γίνει μια συζήτηση εάν η χρήση ενός VPN είναι καλή ιδέα αν θέλετε να κρύψετε την ταυτότητά σας. Συμβάντα όπως αυτό σίγουρα δεν βοηθούν στην περίπτωση των VPN και με τα χρόνια, έχουμε ακούσει για αρκετούς παρόχους που δεν κάνουν αρκετά για να προστατεύσουν το απόρρητο των χρηστών. Τούτου λεχθέντος, ένα καλά διαμορφωμένο εικονικό ιδιωτικό δίκτυο που προσφέρεται από μια εταιρεία που δεν θέλει να σας κατασκοπεύει θα μπορούσε να είναι εξαιρετικά χρήσιμο όχι μόνο όταν θέλετε να αποκτήσετε πρόσβαση σε περιεχόμενο που δεν είναι διαθέσιμο στη χώρα σας, αλλά και όταν προσπαθείτε να διατηρήστε ένα επίπεδο ανωνυμίας. Τελικά, διαρροές σαν αυτό αποδεικνύουν ότι οι χρήστες πρέπει να είναι εξαιρετικά προσεκτικοί όταν επιλέγουν έναν πάροχο VPN.
