Wyciekło 1,2 TB danych użytkowników darmowych usług VPN
Badacze z vpnMentor odkryli dane osobowe ponad 20 mln użytkowników darmowych usług VPN w Internecie. Niezabezpieczony serwer w sieci zawiera informacje z Fast VPN, Flash VPN, Free VPN, Rabbit VPN, Secure VPN, Super VPN, UFO VPN, w tym adresy e-mail, niezaszyfrowane hasła, adresy IP oraz zamieszkania, informacje o modelu smatfona i identyfikatory urządzeń użytkowników. Całkowita ilość danych to 1,2 TB. Wiele z tych aplikacji ma ponad milion pobrań w App Store i Google Play.
Darmowe usługi VPN są popularne w Rosji, gdyż dzięki nim można uzyskać dostęp do treści w Internecie zablokowanych przez federalnego regulatora Roskomnadzor, takie jak trackery torrentów czy pirackie serwisy wideo.
Gazeta Kommersant pisze, że wśród użytkowników ujawnionych usług mogą być dziesiątki, a nawet setki tysięcy Rosjan (choć ta sprawa dotyczy także polskich użytkowników!). Zdaniem szefa grupy ds. cyberbezpieczeństwa w Rosji i WNP, z takich aplikacji korzystają głównie osoby słabo zorientowane w kwestiach technicznych, które muszą uzyskać dostęp do zablokowanych witryn lub bezpłatnie zmienić adres IP, aby np. zarejestrować kilka kont w grze czy nakręcić głosowanie. Darmowe serwisy VPN zapewniają minimalny poziom anonimowości i bezpieczeństwa ruchu sieciowego.
Mimo dużej skali wycieku danych, nie powinny stwarzać poważnych problemów użytkownikom takich usług. Jednak jak tłumaczy Ashot Oganesyan, założyciel i dyrektor techniczny DeviceLock, linki płatności do konta PayPal mogą być użyte do wyłudzania informacji, a adresy e-mail i hasła mogą służyć do hackowania innych zasobów w przypadkach, gdy użytkownicy zarejestrowali się przy użyciu tych samych danych. Ponadto logi aktywności, które znajdują się w rękach intruzów, mogą posłużyć do szantażowania klientów usług VPN, ponieważ ich analiza pozwoli im ustalić odwiedziny witryn z zabronioną zawartością.
- Wyciek ujawnia niebezpieczny problem, który dotyczy prawie każdej takiej aplikacji. Programiści obiecują, ale nie gwarantują bezpieczeństwa. Twierdzą, że nie zbierają logów, ale badacze odkrywają te dane na serwerach aplikacji. Można sprawdzić czystość programistów, patrząc tylko na kod źródłowy usługi. Jednak prawie w 100 proc. jest niedostępny - twierdzi Aleksiej Drozd, szef bezpieczeństwa informacji w SearchInform.