7つのVPNプロバイダーが2,000万人のユーザーの個人情報を漏洩したとして非難される
私たちはこれらのページで、インターネットで読むすべてのものは少々の塩でとらえられるべきだとよく言ってきましたが、残念ながら、このアドバイスがこれまで以上に有効である理由の例が多すぎます。 VPNMentorの研究者チームが最近、 さらに別のチームを提供してくれました。
今回の発見は、全部で7つの仮想プライベートネットワーク(VPN)アプリに関係しており、それらはすべて、アプリを使用するユーザーの個人データやアクティビティデータを保存または記録しないことを約束しています。しかし実際には、研究者たちはアプリが大量の情報を記録しているだけでなく、それを全世界に公開しているサーバーに置いていることを証明しました。
Table of Contents
VPNアプリはユーザーのデータを保護されていないElasticsearchデータベースに配置します
アプリの名前は、UFO VPN、Fast VPN、Free VPN、Super VPN、Flash VPN、Secure VPN、Rabbit VPNです。アプリの名前は異なる場合がありますが、同じ開発者によって作成されたものであると研究者はほぼ確信しています。それらはすべて香港に拠点を置いており、それらのいくつかは似たようなウェブサイトを持っています、そして最後に重要なことですが、それらはすべて同じバックエンドインフラストラクチャにユーザーのデータを保存します。
残念ながら、エキスパートは、パスワードで保護されておらず、約1.2 TBのユーザーデータをホストしているElasticsearchデータベースを見つけた後、最後の情報を発見しました。 VPNプロバイダーが主張するユーザーベースが信じられる場合、影響を受ける個人の数は2,000万人にもなる可能性があり、一部の人にとっては、リークの結果は非常に深刻になる可能性があります。
個人データ、プレーンテキストのパスワード、アクティビティログが公開された
研究者たちはその情報が本物かどうか知りたがっていました。そのために、彼らはアプリの1つ(UFO VPN)をダウンロードし、サインアップしてそれを使い始めました。 しばらくすると、アカウントの登録に使用したメールアドレスとクリアテキストのパスワードが、 セキュリティで保護されていないElasticsearchデータベースに表示されました。
ログインデータに加えて、専門家は、名前、物理アドレス、ホームIPなど、個人を特定できる情報を大量に見つけました。機密性の高いPayPal APIリンクは、支払いプロセッサで支払いを行う顧客のアカウントを明らかにする可能性があり、アプリを使用したときに接続したサーバーに関する情報もありました。
しかし、研究者の最も衝撃的な発見の1つは、活動ログの存在でした。 VPNMentorの専門家は、ユーザーの場所、ユーザーが使用していた接続の種類、タイムスタンプ、ユーザーが到達しようとしたドメインを含むレコードのスクリーンショットを共有しました。閲覧データが保存されていないという主張については、これで終わりです。
ユーザーへの影響は壊滅的である可能性があります
これらの7つのアプリによって提供される仮想プライベートネットワークについては、プライベートはほとんどありませんでした。これは、それらを使用している人々にとって大きな問題になる可能性があります。たとえば、VPNMentorが共有したスクリーンショットの1つは、イランの人がVPNを使用してアダルトコンテンツを表示していたことを示しています。イランではポルノは禁止されており、その人物が特定された場合、刑務所に入る可能性があります。
さらに、VPNは一般に、真のアイデンティティを明らかにしたくない活動家や人々によって使用されることが多く、データを公開した7つのアプリが非常に不安定な状況に置かれる可能性があります。データベースがセキュリティで保護され、情報が公開されなくなったことは良いことです。しかし、それを停止することは、本来あるべきことよりも困難でした。
VPNプロバイダーは何も悪いことをしていないと主張している
VPNMentorの専門家は7月5日にデータベースを発見し、すぐにVPNプロバイダーに通知するために出発しました。最初に回答したのは1社だけで、何が起こっているのかわからないようです。研究者と香港のコンピューター緊急対応チーム(CERT)とのコミュニケーションも実を結ばなかった。サーバーがアメリカにあるので、香港の当局はそれについてほとんど何もできませんでした。
7月15日、ついにデータベースがオフラインになり、影響を受けたVPNプロバイダーの中で最大のUFO VPNから研究者に返信がありました。メールは、UFO VPNがCOVID-19パンデミックに関連する「人事異動」による設定ミスを見落としたと述べました。彼らは、ユーザーのパスワードをプレーンテキストで保存しないこと、およびブラウジングアクティビティを記録しないことを研究者に保証しようとしました。リーク自体は、これが事実ではなかった証拠です。
しばらくの間、身元を隠したい場合にVPNを使用することが良いアイデアかどうかについては、少しの議論があります。このようなインシデントは確かにVPNの場合には役立ちません。長年にわたって、ユーザーのプライバシーを保護するのに十分ではないプロバイダーがかなり多くあると聞いています。そうは言っても、あなたをスパイしたくない会社が提供する適切に構成された仮想プライベートネットワークは、あなたの国で利用できないコンテンツにアクセスしたい場合だけでなく、あなたが匿名性のレベルを維持します。最終的に、このようなリークは、ユーザーがVPNプロバイダーを選択するときに非常に注意する必要があることを証明します。