Pojedynczy otwarty serwer wymieniający nazwy, hasła, adresy e-mail i adresy domowe użytkowników z różnych usług VPN z siedzibą w Hongkongu.
Σwedług badaczy bezpieczeństwa vpnMentorOdkryto, że siedem usług VPN, które twierdzą, że nigdy nie rejestrują aktywności użytkowników, właśnie to robi – i ujawnia te informacje online.
Wcześniej w tym miesiącu vpnMentor Odkrył jeden otwarty serwer, który zawierał informacje o użytkowniku dla siedmiu różnych usług VPN z siedzibą w Hongkongu, w tym UFO VPN, szybka sieć VPN i darmowa sieć VPN.
W sumie serwer zawierał 1,2 TB danych, w tym nazwy, hasła, adresy e-mail i adresy domowe wielu użytkowników. Ale naprawdę niepokojącym odkryciem były przechowywane dzienniki aktywności, które mogą ujawnić, które witryny odwiedzają użytkownicy i przez które identyfikatory użytkowników, adresy IP i urządzenia.
Jest to godne podziwu wydarzenie, ponieważ większość subskrybentów VPN robi to, aby chronić swoją prywatność. Jednak ujawniony serwer dał praktycznie każdemu łatwy sposób śledzenia aktywności nawet 20 milionów użytkowników.
Wszyscy dostawcy, których dotyczy problem, twierdzą, że oferują „niezarejestrowane” usługi VPN, co oznacza, że nigdy nie rejestrują szczegółów aktywności użytkowników. Jednak ujawniony serwer wskazuje, że tak nie jest. VpnMentor stwierdził: „W niektórych przypadkach użytkownicy odwiedzali nielegalne strony internetowe w krajach, w których wyświetlanie takich treści jest zabronione i karalne”.
Według dochodzenia, narażony serwer wydaje się należeć do firmy, która oferuje usługi VPN o 7 różnych nazwach. VpnMentor skontaktował się z dostawcami, których dotyczy problem, 5 lipca, ale ostatecznie musiał przejść 15 lipca, dopóki narażony serwer nie został zabezpieczony.
UFO VPN powiedział śledczym: „Ze względu na zmiany personelu spowodowane COVID-19 nie znaleźliśmy od razu błędów w regułach zapory serwera, które mogłyby prowadzić do potencjalnego ryzyka naruszenia. Ale teraz zostało to poprawione”. UFO VPN stwierdził również, że wszystkie informacje na serwerze są „anonimowe” i zostały po prostu wykorzystane do analizy wydajności sieci użytkowników.
VpnMentor mówi, że tak nie jest. Aby zweryfikować swoje ustalenia, badacze przetestowali aplikację UFO VPN i zauważyli, że logi aktywności użytkowników pojawiały się na wystawionym serwerze w czasie rzeczywistym. Sami stwierdzili: „Ponadto mogliśmy wyraźnie zobaczyć nazwę użytkownika i hasło, których użyliśmy do utworzenia naszego konta, które były przechowywane w dziennikach jako zwykły tekst."
Incydent pokazuje, że niektórzy dostawcy VPN to po prostu oszuści. Badacz bezpieczeństwa Kenneth White on tweetowałLekcja: Komercyjne usługi VPN kłamią. Wiele kłamstw."
Usługa VPN „bez logowania” ujawniła miliony dzienników użytkowników na otwartym serwerze Elasticsearch, w tym hasła w postaci zwykłego tekstu, dane geograficzne i adresy IP, a zamknięcie zajęło ponad 2 tygodnie po otrzymaniu powiadomienia.
Lekcja: Komercyjne usługi VPN kłamią. Bardzo.
- Kenn White (@kennwhite) 16 lipca 2020 r.
Jeśli subskrybujesz UFO VPN lub pozostałych sześciu dostawców, sugerujemy znalezienie lepszej alternatywy. Ponadto niektórzy dostawcy VPN przeszli kontrolę bezpieczeństwa, aby wykazać, że wdrożyli zasadę „braku logowania”. Inni współpracować w ramach „inicjatywy zaufania”, aby zapewnić, że branża VPN stosuje najlepsze praktyki w zakresie bezpieczeństwa i prywatności swoich użytkowników.