7 провайдеров VPN обвиняются в утечке личной информации 20 миллионов пользователей
На этих страницах мы часто говорили, что все, что вы читаете в интернете, нужно брать с щепоткой соли, и, к сожалению, у нас слишком много примеров того, почему этот совет более актуален, чем когда-либо. Команда исследователей из VPNMentor недавно предоставила нам еще одну.
Обнаружение касалось в общей сложности семи приложений виртуальной частной сети (VPN), которые обещают не хранить и не записывать какие-либо личные данные и данные об активности людей, которые их используют. В действительности, однако, исследователи доказали, что приложения не только записывают довольно много информации, но и помещают ее на сервер, который раскрывает ее всему миру.
Table of Contents
Приложения VPN помещают данные пользователей в незащищенную базу данных Elasticsearch
Названия приложений: UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Приложения могут иметь разные названия, но исследователи почти уверены, что они были созданы одним разработчиком. Все они базируются в Гонконге, некоторые из них имеют похожие веб-сайты, и, что не менее важно, все они хранят данные пользователей в одной и той же серверной инфраструктуре.
К сожалению, эксперты обнаружили последнюю часть информации после того, как обнаружили базу данных Elasticsearch, которая не была защищена паролем и содержала около 1,2 ТБ пользовательских данных. Если верить утвержденным базам пользователей провайдеров VPN, число затронутых пользователей может достигать 20 миллионов, а для некоторых из них последствия утечки могут быть весьма серьезными.
Личные данные, незашифрованные пароли и журналы активности были выставлены
Исследователям было любопытно узнать, была ли информация реальной. Для этого они загрузили одно из приложений (UFO VPN), зарегистрировались и начали его использовать. Через несколько минут адрес электронной почты и пароль в виде открытого текста, которые они использовали для регистрации учетной записи, появились в незащищенной базе данных Elasticsearch.
Помимо данных для входа в систему, эксперты обнаружили довольно много информации, позволяющей установить личность, включая имена, физические адреса и домашние IP-адреса. Чувствительные ссылки API PayPal могут раскрывать счета плательщиков в процессоре платежей, а также была информация о том, к каким серверам они подключались, когда использовали приложения.
Однако одним из самых шокирующих открытий исследователей было наличие журналов активности. Эксперты VPNMentor поделились скриншотами записей, которые содержат местоположение пользователя, тип соединения, которое они использовали, метку времени и домен, который они пытались получить. Так много для претензий, что данные для просмотра не хранятся.
Воздействие на пользователей может быть разрушительным
В виртуальных частных сетях, предоставляемых этими семью приложениями, было очень мало частного, и это могло быть большой проблемой для людей, которые их использовали. Например, один из скриншотов, которыми поделился VPNMentor, показывает, что человек в Иране использовал VPN для просмотра материалов для взрослых. Порнография запрещена в Иране, и если этот человек идентифицирован, они могут столкнуться тюремное заключение.
Кроме того, VPN, как правило, часто используются активистами и людьми, которые действительно не хотят раскрывать свою истинную личность, и семь приложений, которые раскрывают их данные, могли бы поставить их в очень опасную ситуацию. Хорошо, что база данных была защищена, и информация больше не является общедоступной. Свести его было сложнее, чем следовало бы.
Провайдеры VPN утверждают, что они не сделали ничего плохого
Эксперты VPNMentor обнаружили базу данных 5 июля и немедленно отправились информировать провайдеров VPN. Первоначально ответила только одна из компаний, и казалось, что она не уверена в том, что происходит. Общение исследователей с Гонконгской группой реагирования на компьютерные инциденты (CERT) также не принесло никаких результатов. Поскольку сервер находился в США, власти Гонконга мало что могли с этим поделать.
15 июля база данных была окончательно отключена, и исследователи получили ответ от UFO VPN, крупнейшего из затронутых VPN-провайдеров. В электронном письме говорится, что UFO VPN упустил из виду ошибку конфигурации из-за «кадровых изменений», связанных с пандемией COVID-19. Они пытались заверить исследователей в том, что они не хранят пароли пользователей в незашифрованном виде и что они не записывают какую-либо активность в Интернете. Сама утечка является доказательством того, что это не так.
В течение некоторого времени ведутся споры о том, является ли использование VPN хорошей идеей, если вы хотите скрыть свою личность. Подобные инциденты, безусловно, не помогают в случае VPN, и за многие годы мы слышали о довольно многих провайдерах, которые не делают достаточно для защиты конфиденциальности пользователей. При этом хорошо настроенная виртуальная частная сеть, предлагаемая компанией, которая не хочет шпионить за вами, может быть чрезвычайно полезна не только тогда, когда вы хотите получить доступ к контенту, который недоступен в вашей стране, но и когда вы пытаетесь поддерживать уровень анонимности. В конечном итоге, подобные утечки доказывают, что пользователи должны быть предельно осторожны при выборе поставщика VPN.
