7 VPN-providers worden ervan beschuldigd de persoonlijke informatie van 20 miljoen gebruikers te hebben gelekt

We hebben op deze pagina's vaak gezegd dat alles wat je op internet leest met een snufje zout moet worden genomen, en helaas hebben we veel te veel voorbeelden waarom dit advies meer dan ooit geldig is. Een team van onderzoekers van VPNMentor heeft ons onlangs nog een andere bezorgd.

De ontdekking betrof in totaal zeven Virtual Private Network (VPN) -apps die allemaal beloven geen persoonlijke en activiteitsgegevens op te slaan of vast te leggen van de mensen die ze gebruiken. In werkelijkheid bewezen de onderzoekers echter dat de apps niet alleen behoorlijk veel informatie vastlegden, maar ze ook in een server plaatsten die deze aan de hele wereld blootlegde.

VPN-apps plaatsen de gegevens van gebruikers in een onbeschermde Elasticsearch-database

De namen van de apps zijn UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN en Rabbit VPN. De apps kunnen verschillende namen hebben, maar de onderzoekers zijn er bijna van overtuigd dat ze door dezelfde ontwikkelaar zijn gemaakt. Ze zijn allemaal gevestigd in Hong Kong, sommigen hebben vergelijkbare websites en, last but not least, ze slaan allemaal gegevens van gebruikers op dezelfde backend-infrastructuur op.

Helaas ontdekten de experts het laatste stukje informatie nadat ze een Elasticsearch-database hadden gevonden die niet was beveiligd met een wachtwoord en ongeveer 1,2 TB aan gebruikersgegevens had gehost. Als we de veronderstelde gebruikersbasis van de VPN-providers mogen geloven, kan het aantal getroffen personen oplopen tot 20 miljoen, en voor sommigen van hen zouden de gevolgen van het lek behoorlijk ernstig kunnen zijn.

Persoonlijke gegevens, wachtwoorden zonder opmaak en activiteitenlogboeken werden zichtbaar

De onderzoekers waren benieuwd of de informatie echt was. Om dat te doen, hebben ze een van de apps (UFO VPN) gedownload, zich aangemeld en zijn ze gaan gebruiken. Even later verschenen het e-mailadres en het cleartext-wachtwoord dat ze gebruikten om het account te registreren in de onbeveiligde Elasticsearch-database.

Naast de inloggegevens vonden de experts nogal wat persoonlijk identificeerbare informatie, waaronder namen, fysieke adressen en thuis-IP's. Gevoelige PayPal API-links kunnen de rekeningen van betalende klanten bij de betalingsverwerker onthullen, en er was ook informatie over op welke servers ze verbinding maakten toen ze de apps gebruikten.

Een van de meest schokkende ontdekkingen van de onderzoekers was echter de aanwezigheid van activiteitenlogboeken. De experts van VPNMentor hebben screenshots gedeeld van records met de locatie van de gebruiker, het type verbinding dat ze gebruikten, het tijdstempel en het domein dat ze probeerden te bereiken. Tot zover de beweringen dat er geen browsegegevens worden opgeslagen.

De impact voor gebruikers kan verwoestend zijn

Er was heel weinig privé over de virtuele privé-netwerken die door deze zeven apps werden geleverd, en dit zou een groot probleem kunnen zijn voor de mensen die ze gebruikten. Een van de screenshots die VPNMentor heeft gedeeld, laat bijvoorbeeld zien dat een persoon in Iran de VPN gebruikte om materiaal voor volwassenen te bekijken. Pornografie is verboden in Iran en als die persoon wordt geïdentificeerd, kan er gevangenisstraf worden opgelegd.

Bovendien worden VPN's in het algemeen vaak gebruikt door activisten en mensen die hun ware identiteit echt niet willen prijsgeven, en de zeven apps die hun gegevens openbaarden, hadden hen in een zeer precaire situatie kunnen brengen. Het is maar goed dat de database is beveiligd en de informatie niet meer openbaar toegankelijk is. Het naar beneden halen was echter moeilijker dan het had moeten zijn.

De VPN-providers beweren dat ze niets verkeerd hebben gedaan

De experts van VPNMentor ontdekten de database op 5 juli en gingen meteen op pad om de VPN-providers te informeren. Slechts één van de bedrijven antwoordde aanvankelijk en het leek niet zeker wat er aan de hand was. De communicatie van de onderzoekers met het Computer Emergency Response Team (CERT) in Hong Kong leverde ook geen vruchten op. Omdat de server zich in de VS bevond, konden de autoriteiten van Hong Kong er weinig aan doen.

Op 15 juli werd de database eindelijk offline gehaald en kregen de onderzoekers een antwoord van UFO VPN, de grootste van de getroffen VPN-providers. In de e-mail stond dat UFO VPN de configuratiefout over het hoofd had gezien als gevolg van "personeelswijzigingen" in verband met de COVID-19-pandemie. Ze probeerden de onderzoekers te verzekeren dat ze de wachtwoorden van gebruikers niet in platte tekst opslaan en dat ze geen browse-activiteit registreren. Het lek zelf is het bewijs dat dit niet het geval was.

Er is al een tijdje een discussie gaande of het gebruik van een VPN een goed idee is als je je identiteit wilt verbergen. Incidenten zoals deze helpen zeker niet bij VPN's, en in de loop der jaren hebben we gehoord over nogal wat providers die niet genoeg doen om de privacy van gebruikers te beschermen. Dat gezegd hebbende, een goed geconfigureerd virtueel privénetwerk dat wordt aangeboden door een bedrijf dat u niet wil bespioneren, kan uiterst nuttig zijn, niet alleen wanneer u toegang wilt krijgen tot inhoud die niet beschikbaar is in uw land, maar ook wanneer u probeert om een niveau van anonimiteit behouden. Uiteindelijk bewijzen dergelijke lekken dat gebruikers uiterst voorzichtig moeten zijn bij het kiezen van een VPN-provider.