UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN i Rabbit VPN. Dostawców tych sieci VPN łączy wspólna baza i wyciek danych (łącznie jakieś 12GB), pomimo zapewnień o nie zbieraniu logów. Współdzielą jeszcze jedną cechę — wydawcą tych aplikacji na Androida jest dostawca z Hongkongu.
Nie włamano się do infrastruktury dostawcy oprogramowania, ani nie uzyskano dostępu do klucza prywatnego (na skutek podobnego wycieku). Najmniej prawdopodobne scenariusze zdarzają się. W tym przypadku baza danych była wystawiona do Internetu bez konkretnych zabezpieczeń. Pracownik portalu vpnmentor.com natrafił na bazę w wyszukiwarce shodan.io. Baza zawierała informacje o ponad 20 milionach użytkowników usług VPN. Ten sam deweloper postanowił zaoszczędzić i wysyłał logi ze wszystkich usług VPN do tej samej bazy.
Co wyciekło?
Total size of data:
1.207 TBTotal number of files:
1,083,997,361 recordsNo. of people exposed:
Over 20 million, based on user numbers claimed by the VPNsTypes of data exposed:
Activity logs, PII (names, emails, home address), cleartext passwords, Bitcoin payment information, support messages, personal device information, tech specs, account info, direct Paypal API links
Baza zawierała dane osobowe użytkowników i logi związane z przeglądaniem stron podczas korzystania z sieci VPN, a także niezaszyfrowane hasła. Zapewnienia o polityce ZERO-Log okazały się wierutną bzdurą, po prostu kłamstwem, napluciem w twarz.
Konkretnie wyciekło to:
- Dzienniki połączeń, ruch i odwiedzane witryny.
- Początkowe adresy IP.
- Dostawca usług internetowych (ISP).
- Rzeczywista lokalizacja.
- Rodzaj urządzenia.
- Identyfikator urządzenia.
- Wersja aplikacji.
- Modele telefonów.
- Połączenie sieciowe użytkownika.
Dane znajdujące się w bazie pozwalają na zidentyfikowanie użytkowników. Niektórych może to kosztować nawet utratę wolności. W krajach totalitarnych, gdzie Internet jest ocenzurowany do granic możliwości, korzystanie z VPN jest zabronione. Dla takich ludzi konsekwencje mogą być najbardziej surowe.
Powiązane wpisy:
- Ciemna strona Hola VPN: sprzedawane są adresy IP i transfer danych użytkowników.
- VPN ujawnia prawdziwy adres IP z powodu błędu w zabezpieczeniach iPhonów.
- VPN ma swoje tajemnice — użytkownicy płacą prywatnością!
- Setki aplikacji VPN jest podatnych na ujawnienie tajemnic przedsiębiorstwa.
- Exploit na ZenMate VPN ujawniał szczegółowe informacje o ofierze i jej prawdziwy adres IP.
- Większość aplikacji VPN na Androida nadaje się tylko na śmietnik.
