7 dostawców VPN jest oskarżonych o ujawnienie danych osobowych 20 milionów użytkowników

7 VPN Providers Leak Personal Data

Często mówiliśmy na tych stronach, że wszystko, co czytasz w Internecie, należy traktować z przymrużeniem oka i niestety mamy zbyt wiele przykładów, dlaczego ta rada jest ważniejsza niż kiedykolwiek. Zespół badaczy z VPNMentor dostarczył nam ostatnio kolejnego.

Odkrycie dotyczyło łącznie siedmiu aplikacji Virtual Private Network (VPN), z których wszystkie obiecują, że nie będą przechowywać ani rejestrować żadnych danych osobowych i danych dotyczących aktywności osób, które z nich korzystają. W rzeczywistości jednak naukowcy udowodnili, że aplikacje nie tylko zapisywały całkiem sporo informacji, ale także umieszczały je na serwerze, który wystawiał je całemu światu.

Aplikacje VPN umieszczają dane użytkowników w niezabezpieczonej bazie danych Elasticsearch

Nazwy aplikacji to UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN i Rabbit VPN. Aplikacje mogą mieć różne nazwy, ale naukowcy są prawie przekonani, że zostały stworzone przez tego samego programistę. Wszystkie mają siedzibę w Hongkongu, niektóre mają podobnie wyglądające strony internetowe i, co nie mniej ważne, wszystkie przechowują dane użytkowników w tej samej infrastrukturze zaplecza.

Niestety eksperci odkryli ostatnią informację po tym, jak znaleźli bazę danych Elasticsearch, która nie była chroniona hasłem i zawierała około 1,2 TB danych użytkownika. Jeśli wierzyć rzekomym bazom użytkowników VPN, liczba dotkniętych osób może sięgać nawet 20 milionów, a dla niektórych konsekwencje wycieku mogą być dość poważne.

Dane osobowe, hasła w postaci zwykłego tekstu i dzienniki aktywności zostały ujawnione

Badacze byli ciekawi, czy informacje są prawdziwe. Aby to zrobić, pobrali jedną z aplikacji (UFO VPN), zarejestrowali się i zaczęli z niej korzystać. Chwilę później adres e-mail i hasło w postaci zwykłego tekstu, których użyli do zarejestrowania konta, pojawiły się w niezabezpieczonej bazie danych Elasticsearch.

Oprócz danych logowania eksperci znaleźli sporo danych osobowych, w tym nazwiska, adresy fizyczne i domowe adresy IP. Wrażliwe linki do API PayPal mogą ujawniać konta płacących klientów w procesorze płatności, a także informacje o serwerach, z którymi się łączyli, kiedy korzystali z aplikacji.

Jednak jednym z najbardziej szokujących odkryć naukowców była obecność dzienników aktywności. Eksperci VPNMentor udostępnili zrzuty ekranu rekordów zawierających lokalizację użytkownika, typ używanego połączenia, sygnaturę czasową i domenę, do której próbowali dotrzeć. To tyle, jeśli chodzi o twierdzenia, że nie są przechowywane żadne dane przeglądania.

Skutki dla użytkowników mogą być katastrofalne

Niewiele było informacji prywatnych na temat wirtualnych sieci prywatnych zapewnianych przez te siedem aplikacji, co może stanowić duży problem dla osób, które ich używają. Na przykład jeden ze zrzutów ekranu udostępnionych przez VPNMentor pokazuje, że osoba w Iranie korzystała z VPN do przeglądania materiałów dla dorosłych. Pornografia jest zabroniona w Iranie, a jeśli taka osoba zostanie zidentyfikowana, grozi jej kara więzienia.

Co więcej, sieci VPN są na ogół często używane przez aktywistów i osoby, które naprawdę nie chcą ujawniać swojej prawdziwej tożsamości, a siedem aplikacji, które ujawniły ich dane, mogło postawić ich w bardzo niepewnej sytuacji. Dobrze, że baza danych była zabezpieczona, a informacje nie są już publicznie dostępne. Jednak zniszczenie go było trudniejsze niż powinno.

Dostawcy VPN twierdzą, że nie zrobili nic złego

Eksperci VPNMentor odkryli bazę danych 5 lipca i natychmiast wyruszyli, aby poinformować dostawców VPN. Tylko jedna z firm odpowiedziała na początku i wydawało się, że nie jest pewna, co się dzieje. Komunikacja naukowców z Zespołem Reagowania na Awarie Komputerowe w Hongkongu (CERT) również nie przyniosła żadnych owoców. Ponieważ serwer znajdował się w Stanach Zjednoczonych, władze Hongkongu niewiele mogły z tym zrobić.

15 lipca baza danych została ostatecznie odłączona, a badacze otrzymali odpowiedź od UFO VPN, największego z dostawców VPN, których dotyczy problem. W e-mailu napisano, że UFO VPN przeoczyło błąd konfiguracji z powodu „zmian personalnych” związanych z pandemią COVID-19. Próbowali zapewnić badaczy, że nie przechowują haseł użytkowników w postaci zwykłego tekstu i nie rejestrują żadnych działań związanych z przeglądaniem. Sam wyciek jest dowodem na to, że tak nie było.

Od jakiegoś czasu trwa debata, czy używanie VPN jest dobrym pomysłem, jeśli chcesz ukryć swoją tożsamość. Incydenty takie jak ten z pewnością nie pomagają w przypadku VPN, a przez lata słyszeliśmy o wielu dostawcach, którzy nie robią wystarczająco dużo, aby chronić prywatność użytkowników. To powiedziawszy, dobrze skonfigurowana wirtualna sieć prywatna oferowana przez firmę, która nie chce Cię szpiegować, może być niezwykle przydatna nie tylko wtedy, gdy chcesz uzyskać dostęp do treści niedostępnych w Twoim kraju, ale także gdy próbujesz zachować poziom anonimowości. Ostatecznie przecieki takie jak ten dowodzą, że użytkownicy powinni zachować szczególną ostrożność przy wyborze dostawcy VPN.

Do Duran
July 21, 2020
News
Polski
July 21, 2020
News

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

4 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.