7 VPN-leverantörer anklagas för att läcka personlig information från 20 miljoner användare
Vi har ofta sagt på dessa sidor att allt du läser på internet bör tas med en nypa salt, och tyvärr har vi alltför många exempel på varför detta råd är mer giltigt än någonsin. Ett team av forskare från VPNMentor gav oss nyligen ytterligare ett.
Upptäckten gällde totalt sju Virtual Private Network (VPN) -appar som alla lovar att inte lagra eller spela in någon personlig och aktivitetsdata från de personer som använder dem. I själva verket bevisade dock forskarna att apparna inte bara spelade in en hel del information utan också lägger de in på en server som exponerade den för hela världen.
Table of Contents
VPN-appar lägger användarens data i en oskyddad Elasticsearch-databas
Namnen på apparna är UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN och Rabbit VPN. Apparna kan komma under olika namn, men forskarna är nästan övertygade om att de skapades av samma utvecklare. De är alla baserade i Hong Kong, några av dem har liknande sidor som ser ut och sist men inte minst lagrar de användarnas data på samma backend-infrastruktur.
Tyvärr upptäckte experterna den sista informationen efter att de hittade en Elasticsearch-databas som inte var skyddad av ett lösenord och var värd cirka 1,2 TB användardata. Om man tror att VPN-leverantörernas påståtte användarbaser kan antalet drabbade individer vara så mycket som 20 miljoner, och för vissa av dem kan konsekvenserna av läckan vara ganska allvarliga.
Personuppgifter, vanliga lösenord och aktivitetsloggar exponerades
Forskarna var nyfikna på att ta reda på om informationen var verklig. För att göra det laddade de ner en av apparna (UFO VPN), registrerade sig och började använda den. Ögonblick senare kom e-postadressen och klartextlösenordet de använde för att registrera kontot i den osäkrade Elasticsearch-databasen.
Förutom inloggningsuppgifterna hittade experterna ganska mycket personlig information, inklusive namn, fysiska adresser och hem-IP. Känsliga PayPal API-länkar kunde avslöja betalande kunders konton på betalningsprocessorn, och det fanns också information om vilka servrar de anslöt till när de använde apparna.
En av forskarnas mest chockerande upptäckter var dock förekomsten av aktivitetsloggar. VPNMentors experter delade skärmdumpar av poster som innehåller användarens plats, typen av anslutning de använde, tidsstämpeln och domänen de försökte nå. Så mycket för påståenden att ingen surfningsinformation lagras.
Påverkan för användare kan vara förödande
Det var mycket lite privat om de virtuella privata nätverk som tillhandahölls av dessa sju appar, och det kan vara ett stort problem för de människor som använde dem. Ett av skärmdumparna VPNMentor delade till exempel visar att en person i Iran använde VPN för att se material för vuxna. Pornografi är förbjudet i Iran, och om den personen identifieras kan de stå inför fängelse.
Vidare används VPN i allmänhet ofta av aktivister och människor som verkligen inte vill avslöja sin verkliga identitet, och de sju appar som exponerade deras data kan ha gjort dem i en mycket osäker situation. Det är bra att databasen var säkrad och informationen inte längre är tillgänglig för allmänheten. Att föra ner det var svårare än det borde ha varit.
VPN-leverantörerna hävdar att de inte har gjort något fel
VPNMentors experter upptäckte databasen den 5 juli och de startade omedelbart för att informera VPN-leverantörerna. Endast ett av företagen svarade initialt och det verkade vara osäker på vad som händer. Forskarnas kommunikation med Hong Kongs Computer Emergency Response Team (CERT) bär inte heller någon frukt. Eftersom servern var belägen i USA kunde Hongkongs myndigheter göra lite åt det.
Den 15 juli togs databasen slutligen offline, och forskarna fick ett svar från UFO VPN, den största av de drabbade VPN-leverantörerna. E-postmeddelandet sa att UFO VPN förbises konfigurationsfel på grund av "personalförändringar" relaterade till COVID-19-pandemin. De försökte försäkra forskarna att de inte lagrar användarnas lösenord i klartext och att de inte registrerar någon surfaktivitet. Läckan i sig är ett bevis på att detta inte var fallet.
Under ett tag har det varit lite debatt om att använda ett VPN är en bra idé om du vill dölja din identitet. Händelser som denna hjälper verkligen inte fallet för VPN: er, och under åren har vi hört talas om ganska många leverantörer som inte gör tillräckligt för att skydda användarnas integritet. Med det sagt kan ett välkonfigurerat virtuellt privat nätverk som erbjuds av ett företag som inte vill spionera på dig vara extremt användbart inte bara när du vill komma åt innehåll som inte är tillgängligt i ditt land, utan också när du försöker bibehålla en nivå av anonymitet. I slutändan bevisar läckor som denna att användare bör vara extremt försiktiga när de väljer en VPN-leverantör.
