7 Provedores de VPN são acusados de vazar informações pessoais de 20 milhões de usuários
Costumamos dizer nessas páginas que tudo que você lê na Internet deve ser tomado com uma pitada de sal e, infelizmente, temos muitos exemplos de por que esse conselho é mais válido do que nunca. Uma equipe de pesquisadores do VPNMentor nos forneceu recentemente mais um.
A descoberta envolveu um total de sete aplicativos de Rede Privada Virtual (VPN) que prometem não armazenar ou registrar dados pessoais e de atividades das pessoas que os usam. Na realidade, no entanto, os pesquisadores provaram que os aplicativos não estavam apenas gravando muitas informações, mas também as colocando em um servidor que as expunha ao mundo inteiro.
Índice
Os aplicativos de VPN colocam os dados dos usuários em um banco de dados desprotegido do Elasticsearch
Os nomes dos aplicativos são: UFO VPN, Fast VPN, VPN grátis, Super VPN, Flash VPN, VPN segura e Rabbit VPN. Os aplicativos podem ter nomes diferentes, mas os pesquisadores estão quase convencidos de que foram criados pelo mesmo desenvolvedor. Eles são todos baseados em Hong Kong, alguns deles têm sites com aparência semelhante e, por último, mas não menos importante, todos armazenam os dados dos usuários na mesma infraestrutura de back-end.
Infelizmente, os especialistas descobriram as últimas informações depois de encontrarem um banco de dados do Elasticsearch que não estava protegido por senha e hospedou cerca de 1,2 TB de dados do usuário. Se se acredita nas bases de usuários reivindicadas pelos provedores de VPN, o número de indivíduos afetados pode chegar a 20 milhões e, para alguns deles, as consequências do vazamento podem ser bastante sérias.
Dados pessoais, senhas de texto simples e logs de atividades foram expostos
Os pesquisadores estavam curiosos para descobrir se a informação era real. Para fazer isso, eles baixaram um dos aplicativos (UFO VPN), se inscreveram e começaram a usá-lo. Momentos depois, o endereço de email e a senha de texto não criptografado que eles usavam para registrar a conta apareceram no banco de dados não seguro do Elasticsearch.
Além dos dados de login, os especialistas encontraram muitas informações de identificação pessoal, incluindo nomes, endereços físicos e IPs domésticos. Os links confidenciais da API do PayPal podem revelar as contas dos clientes pagantes no processador de pagamentos e também havia informações em quais servidores eles se conectaram quando usaram os aplicativos.
Uma das descobertas mais chocantes dos pesquisadores, no entanto, foi a presença de registros de atividades. Os especialistas do VPNMentor compartilharam capturas de tela de registros que contêm a localização do usuário, o tipo de conexão que eles estavam usando, o carimbo de data e hora e o domínio que estavam tentando acessar. Tanto pelas alegações que nenhum dado de navegação é armazenado.
O impacto para os usuários pode ser devastador
Havia muito pouca privacidade nas redes privadas virtuais fornecidas por esses sete aplicativos, e isso poderia ser um grande problema para as pessoas que os estavam usando. Uma das capturas de tela que o VPNMentor compartilhou, por exemplo, mostra que uma pessoa no Irã estava usando a VPN para visualizar materiais para adultos. A pornografia é proibida no Irã e, se essa pessoa for identificada, ela poderá ser presa.
Além disso, as VPNs, em geral, são frequentemente usadas por ativistas e pessoas que realmente não querem revelar sua verdadeira identidade, e os sete aplicativos que expuseram seus dados poderiam colocá-los em uma situação muito precária. É bom que o banco de dados esteja protegido e as informações não sejam mais acessíveis ao público. Mas derrubá-lo foi mais difícil do que deveria ter sido.
Os provedores de VPN afirmam que não fizeram nada errado
Os especialistas do VPNMentor descobriram o banco de dados em 5 de julho e imediatamente partiram para informar os provedores de VPN. Apenas uma das empresas respondeu inicialmente, e parecia não ter certeza do que estava acontecendo. A comunicação dos pesquisadores com a equipe de resposta a emergências de computadores de Hong Kong (CERT) também não deu frutos. Como o servidor estava localizado nos EUA, as autoridades de Hong Kong poderiam fazer pouco sobre isso.
Em 15 de julho, o banco de dados foi finalmente colocado offline, e os pesquisadores receberam uma resposta da UFO VPN, o maior dos provedores de VPN afetados. O e-mail dizia que a VPN UFO ignorou o erro de configuração devido a "mudanças de pessoal" relacionadas à pandemia do COVID-19. Eles tentaram garantir aos pesquisadores que não armazenam as senhas dos usuários em texto simples e que não registram nenhuma atividade de navegação. O vazamento em si é a prova de que esse não foi o caso.
Por um tempo, há um pouco de debate sobre se o uso de uma VPN é uma boa idéia se você deseja ocultar sua identidade. Incidentes como esse certamente não ajudam no caso das VPNs e, ao longo dos anos, ouvimos falar de alguns provedores que não fazem o suficiente para proteger a privacidade dos usuários. Dito isto, uma rede privada virtual bem configurada oferecida por uma empresa que não deseja espioná-lo pode ser extremamente útil não apenas quando você deseja acessar o conteúdo que não está disponível no seu país, mas também quando você está tentando manter um nível de anonimato. Por fim, vazamentos como este provam que os usuários devem ser extremamente cuidadosos ao escolher um provedor de VPN.
