7 VPT teikėjai kaltinami dėl 20 milijonų vartotojų asmeninės informacijos išplovimo
Mes dažnai šiuose puslapiuose sakydavome, kad viskas, ką jūs skaitote internete, turėtų būti geriama su žiupsneliu druskos, ir, deja, turime per daug pavyzdžių, kodėl šis patarimas galioja labiau nei bet kada. Neseniai „VPNMentor“ tyrėjų komanda mums pateikė dar vieną.
Šis atradimas buvo susijęs su septyniomis virtualiojo privataus tinklo (VPN) programomis, kurios žada nesaugoti ir nefiksuoti jomis besinaudojančių asmenų asmeninių ir veiklos duomenų. Tačiau iš tikrųjų tyrėjai įrodė, kad programos ne tik įrašė gana daug informacijos, bet ir įdėjo ją į serverį, kuris ją atskleidė visam pasauliui.
Table of Contents
VPN programos įtraukia vartotojų duomenis į neapsaugotą „Elasticsearch“ duomenų bazę
Programų pavadinimai yra UFO VPN, Greitasis VPN, Nemokamasis VPN, Super VPN, Flash VPN, Saugus VPN ir Rabbit VPN. Programos gali būti skirtingų pavadinimų, tačiau tyrėjai beveik įsitikinę, kad jas sukūrė tas pats kūrėjas. Jie visi yra įsikūrę Honkonge, kai kurie iš jų turi panašios išvaizdos svetaines ir, pagaliau, visi jie saugo naudotojų duomenis toje pačioje vidinėje infrastruktūroje.
Deja, ekspertai atrado paskutinę informacijos dalį po to, kai rado „Elasticsearch“ duomenų bazę, kuri nebuvo apsaugota slaptažodžiu ir talpino apie 1,2 TB vartotojo duomenų. Jei reikia patikėti VPN teikėjų teigiamomis vartotojų bazėmis, nukentėjusių asmenų skaičius gali siekti 20 milijonų, o kai kuriems iš jų nutekėjimo pasekmės gali būti gana rimtos.
Buvo paviešinti asmeniniai duomenys, paprasto teksto slaptažodžiai ir veiklos žurnalai
Tyrėjams buvo įdomu sužinoti, ar informacija buvo tikra. Norėdami tai padaryti, jie atsisiuntė vieną iš programų (UFO VPN), užsiregistravo ir pradėjo ja naudotis. Po akimirkos el. Pašto adresas ir aiškus slaptažodis, kuriuos jie naudojo registruodami sąskaitą, pasirodė nesaugioje „Elasticsearch“ duomenų bazėje.
Be prisijungimo duomenų, ekspertai rado gana daug asmenį identifikuojančios informacijos, įskaitant vardus, fizinius adresus ir namų IP. Jautrios „PayPal“ API nuorodos galėtų atskleisti mokančių klientų sąskaitas mokėjimo procesoriuje, taip pat buvo informacijos, prie kurių serverių jie prisijungė naudodamiesi programomis.
Tačiau vienas tyrėjų šokiruojančių atradimų buvo veiklos žurnalų buvimas. „VPNMentor“ ekspertai dalijosi įrašų, kuriuose yra vartotojo vieta, ryšio tipas, laiko žyma ir domenas, kurį jie bandė pasiekti, ekrano kopijomis. Tiek už teiginius, kad nėra saugomi jokie naršymo duomenys.
Poveikis vartotojams gali būti pragaištingas
Šių septynių programų teikiamų virtualių privačių tinklų buvo labai mažai ir tai gali sukelti didelę problemą jais besinaudojantiems žmonėms. Pavyzdžiui, viena iš VPNMentor ekrano kopijų rodo, kad Irane asmuo naudojo VPN norėdamas peržiūrėti suaugusiesiems skirtą medžiagą. Irane pornografija yra draudžiama, o jei tas asmuo bus atpažintas, jam gali grėsti kalėjimo laikas.
Be to, VPT dažniausiai naudojasi aktyvistai ir žmonės, kurie iš tikrųjų nenori atskleisti savo tikrosios tapatybės, o septynios programos, kurios paviešino jų duomenis, galėjo juos paversti labai pavojinga padėtimi. Gerai, kad duomenų bazė buvo apsaugota ir informacija nebėra viešai prieinama. Vis dėlto jį atmesti buvo sunkiau, nei turėjo būti.
VPT teikėjai tvirtina, kad nepadarė nieko blogo
„VPNMentor“ ekspertai duomenų bazę atrado liepos 5 d. Ir jie nedelsdami pradėjo informuoti VPT teikėjus. Iš pradžių atsakė tik viena iš bendrovių, ir atrodė, kad nežinote, kas vyksta. Tyrėjų ryšiai su Honkongo reagavimo į kompiuterinę situaciją komanda (CERT) taip pat nedavė jokių rezultatų. Kadangi serveris buvo JAV, Honkongo valdžia galėjo mažai ką padaryti.
Liepos 15 d. Duomenų bazė galutinai buvo neprisijungusi, o tyrėjai gavo atsakymą iš UFO VPN - didžiausio paveikto VPN teikėjo. El. Laiške teigiama, kad NSO VPT peržiūra dėl konfigūracijos klaidos įvyko dėl „personalo pokyčių“, susijusių su COVID-19 pandemija. Jie bandė patikinti tyrinėtojus, kad nesaugo vartotojų slaptažodžių paprastame tekste ir nefiksuoja jokios naršymo veiklos. Pats nuotėkis yra įrodymas, kad taip nebuvo.
Jau kurį laiką buvo šiek tiek diskutuojama, ar naudoti VPN yra gera idėja, jei norite paslėpti savo tapatybę. Tokie incidentai kaip šis, be abejo, nepadeda VPT, o bėgant metams girdėjome apie daugybę paslaugų teikėjų, kurie nepakankamai stengiasi apsaugoti vartotojų privatumą. Atsižvelgiant į tai, gerai sukonfigūruotas virtualus privatus tinklas, kurį siūlo įmonė, nenorinti jūsų šnipinėti, gali būti nepaprastai naudinga ne tik norint pasiekti turinį, kurio jūsų šalyje nėra, bet ir bandant išlaikyti anonimiškumo lygį. Galiausiai tokie nutekėjimai kaip šis įrodo, kad vartotojai turėtų būti ypač atsargūs rinkdamiesi VPN teikėją.
