7 proveedores de VPN son acusados de filtrar la información personal de 20 millones de usuarios

A menudo hemos dicho en estas páginas que todo lo que lee en Internet debe tomarse con una pizca de sal, y desafortunadamente, tenemos demasiados ejemplos de por qué este consejo es más válido que nunca. Un equipo de investigadores de VPNMentor nos proporcionó recientemente otro.

El descubrimiento se refería a un total de siete aplicaciones de Red Privada Virtual (VPN) que prometen no almacenar ni registrar ningún dato personal y de actividad de las personas que los usan. Sin embargo, en realidad, los investigadores probaron que las aplicaciones no solo registraban mucha información, sino que también la colocaban en un servidor que la exponía al mundo entero.

Las aplicaciones VPN colocan los datos de los usuarios en una base de datos Elasticsearch desprotegida

Los nombres de las aplicaciones son UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN y Rabbit VPN. Las aplicaciones pueden tener diferentes nombres, pero los investigadores están casi convencidos de que fueron creadas por el mismo desarrollador. Todos tienen su sede en Hong Kong, algunos de ellos tienen sitios web de aspecto similar y, por último, pero no menos importante, todos almacenan los datos de los usuarios en la misma infraestructura de back-end.

Desafortunadamente, los expertos descubrieron la última información después de encontrar una base de datos Elasticsearch que no estaba protegida por una contraseña y que albergaba aproximadamente 1.2TB de datos de usuario. Si se cree en las bases de usuarios reclamadas por los proveedores de VPN, el número de personas afectadas podría ser de hasta 20 millones, y para algunos de ellos, las consecuencias de la filtración podrían ser bastante graves.

Se expusieron datos personales, contraseñas de texto sin formato y registros de actividad.

Los investigadores tenían curiosidad por saber si la información era real. Para hacer eso, descargaron una de las aplicaciones (UFO VPN), se registraron y comenzaron a usarla. Momentos después, la dirección de correo electrónico y la contraseña de texto sin cifrar que usaron para registrar la cuenta aparecieron en la base de datos no segura de Elasticsearch.

Además de los datos de inicio de sesión, los expertos encontraron una gran cantidad de información de identificación personal, incluidos nombres, direcciones físicas e IP del hogar. Los enlaces sensibles de la API de PayPal podrían revelar el pago de las cuentas de los clientes en el procesador de pagos, y también había información sobre a qué servidores se conectaban cuando usaban las aplicaciones.

Sin embargo, uno de los descubrimientos más impactantes de los investigadores fue la presencia de registros de actividad. Los expertos de VPNMentor compartieron capturas de pantalla de registros que contienen la ubicación del usuario, el tipo de conexión que estaban usando, la marca de tiempo y el dominio al que intentaban llegar. Tanto por las afirmaciones que no se almacenan datos de navegación.

El impacto para los usuarios podría ser devastador

Hubo muy poca privacidad sobre las redes privadas virtuales proporcionadas por estas siete aplicaciones, y esto podría ser un gran problema para las personas que las usaban. Una de las capturas de pantalla que VPNMentor compartió, por ejemplo, muestra que una persona en Irán estaba usando la VPN para ver materiales para adultos. La pornografía está prohibida en Irán, y si se identifica a esa persona, podrían enfrentarse a la cárcel.

Además, las VPN, en general, a menudo son utilizadas por activistas y personas que realmente no quieren revelar su verdadera identidad, y las siete aplicaciones que expusieron sus datos podrían haberlas puesto en una situación muy precaria. Es bueno que la base de datos esté protegida y la información ya no sea de acceso público. Sin embargo, derribarlo fue más difícil de lo que debería haber sido.

Los proveedores de VPN afirman que no han hecho nada malo

Los expertos de VPNMentor descubrieron la base de datos el 5 de julio e inmediatamente se pusieron en marcha para informar a los proveedores de VPN. Inicialmente, solo una de las compañías respondió, y parecía no estar seguro de lo que estaba sucediendo. La comunicación de los investigadores con el Equipo de Respuesta a Emergencias Informáticas de Hong Kong (CERT) tampoco dio frutos. Debido a que el servidor estaba ubicado en los EE. UU., Las autoridades de Hong Kong podían hacer poco al respecto.

El 15 de julio, la base de datos finalmente se desconectó y los investigadores recibieron una respuesta de UFO VPN, el mayor de los proveedores de VPN afectados. El correo electrónico decía que UFO VPN pasó por alto el error de configuración debido a "cambios de personal" relacionados con la pandemia COVID-19. Intentaron asegurar a los investigadores que no almacenan las contraseñas de los usuarios en texto sin formato y que no registran ninguna actividad de navegación. La fuga en sí misma es prueba de que este no fue el caso.

Durante un tiempo, se ha debatido un poco si usar una VPN es una buena idea si quieres ocultar tu identidad. Incidentes como este ciertamente no ayudan al caso de las VPN, y a lo largo de los años, hemos escuchado acerca de algunos proveedores que no hacen lo suficiente para proteger la privacidad de los usuarios. Dicho esto, una red privada virtual bien configurada ofrecida por una empresa que no quiera espiarlo podría ser extremadamente útil no solo cuando desea acceder a contenido que no está disponible en su país, sino también cuando está intentando mantener un nivel de anonimato. En última instancia, las filtraciones como esta prueban que los usuarios deben tener mucho cuidado al elegir un proveedor de VPN.