Korzystasz z UFO VPN? Nie jesteś jak UFO. „ZERO-Log Policy” to fikcja

21 lipca, 2020

UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN i Rabbit VPN. Dostawców tych sieci VPN łączy wspólna baza i wyciek danych (łącznie jakieś 12GB), pomimo zapewnień o nie zbieraniu logów. Współdzielą jeszcze jedną cechę — wydawcą tych aplikacji na Androida jest dostawca z Hongkongu.

Nie włamano się do infrastruktury dostawcy oprogramowania, ani nie uzyskano dostępu do klucza prywatnego (na skutek podobnego wycieku). Najmniej prawdopodobne scenariusze zdarzają się. W tym przypadku baza danych była wystawiona do Internetu bez konkretnych zabezpieczeń. Pracownik portalu vpnmentor.com natrafił na bazę w wyszukiwarce shodan.io. Baza zawierała informacje o ponad 20 milionach użytkowników usług VPN. Ten sam deweloper postanowił zaoszczędzić i wysyłał logi ze wszystkich usług VPN do tej samej bazy.

Co wyciekło?

Total size of data:
1.207 TB

Total number of files:
1,083,997,361 records

No. of people exposed:
Over 20 million, based on user numbers claimed by the VPNs

Types of data exposed:
Activity logs, PII (names, emails, home address), cleartext passwords, Bitcoin payment information, support messages, personal device information, tech specs, account info, direct Paypal API links

Baza zawierała dane osobowe użytkowników i logi związane z przeglądaniem stron podczas korzystania z sieci VPN, a także niezaszyfrowane hasła. Zapewnienia o polityce ZERO-Log okazały się wierutną bzdurą, po prostu kłamstwem, napluciem w twarz.

Konkretnie wyciekło to:

  • Dzienniki połączeń, ruch i odwiedzane witryny.
  • Początkowe adresy IP.
  • Dostawca usług internetowych (ISP).
  • Rzeczywista lokalizacja.
  • Rodzaj urządzenia.
  • Identyfikator urządzenia.
  • Wersja aplikacji.
  • Modele telefonów.
  • Połączenie sieciowe użytkownika.

Dane znajdujące się w bazie pozwalają na zidentyfikowanie użytkowników. Niektórych może to kosztować nawet utratę wolności. W krajach totalitarnych, gdzie Internet jest ocenzurowany do granic możliwości, korzystanie z VPN jest zabronione. Dla takich ludzi konsekwencje mogą być najbardziej surowe.

VPN wyciek informacji o użytkowniku
Zrzut ekranu pokazuje połączenie kogoś z Izraela do Włoch z podaniem konkretnego adresu IP wejściowego i wyjściowego, a także szczegółową datę nawiązania połączenia.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]