7 VPN-leverandører blir beskyldt for å lekke den personlige informasjonen til 20 millioner brukere
Vi har ofte sagt på disse sidene at alt du leser på internett bør tas med en klype salt, og dessverre har vi altfor mange eksempler på hvorfor dette rådet er mer gyldig enn noen gang. Et team av forskere fra VPNMentor ga oss nylig en ny.
Funnet gjaldt totalt syv Virtual Private Network (VPN) apper som alle lover å ikke lagre eller registrere noen personlige og aktivitetsdata fra personene som bruker dem. I virkeligheten beviste forskerne imidlertid at appene ikke bare spilte inn ganske mye informasjon, men de la den også på en server som eksponerte den for hele verden.
Table of Contents
VPN-apper legger brukerens data i en ubeskyttet Elasticsearch-database
Navnene på appene er UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN og Rabbit VPN. Appene kan komme under forskjellige navn, men forskerne er nesten overbevist om at de ble opprettet av den samme utvikleren. De har alle base i Hong Kong, noen av dem har nettsteder med lignende utseende, og sist, men ikke minst, lagrer de brukeres data på den samme backend-infrastrukturen.
Dessverre oppdaget ekspertene den siste biten av informasjonen etter at de fant en Elasticsearch-database som ikke var beskyttet av et passord og var vert for rundt 1,2 TB brukerdata. Hvis VPN-leverandørenes påståtte brukerbaser skal antas, kan antallet berørte individer være så høyt som 20 millioner, og for noen av dem kan konsekvensene av lekkasjen være ganske alvorlige.
Personopplysninger, klartekstpassord og aktivitetslogger ble eksponert
Forskerne var nysgjerrige på å finne ut om informasjonen var ekte. For å gjøre det, lastet de ned en av appene (UFO VPN), registrerte seg og begynte å bruke den. Øyeblikk senere dukket e-postadressen og klartekstpassordet de brukte til å registrere kontoen opp i den usikrede Elasticsearch-databasen.
I tillegg til påloggingsdataene fant ekspertene ganske mye personlig identifiserbar informasjon, inkludert navn, fysiske adresser og hjemme-IP-er. Følsomme PayPal API-koblinger kunne avsløre betalende kunders kontoer hos betalingsprosessoren, og det var også informasjon om hvilke servere de koblet til når de brukte appene.
Et av forskernes mest sjokkerende funn var imidlertid tilstedeværelsen av aktivitetslogger. VPNMentors eksperter delte skjermbilder av poster som inneholder brukerens beliggenhet, typen tilkobling de brukte, tidsstempel og domenet de prøvde å nå. Så mye for påstandene at det ikke er lagret noen surfedata.
Virkningen for brukere kan være ødeleggende
Det var veldig lite privat om de virtuelle private nettverkene som ble levert av disse syv appene, og dette kan være et stort problem for menneskene som brukte dem. Et av skjermbildene VPNMentor delte for eksempel, viser at en person i Iran brukte VPN for å se på voksenmateriell. Pornografi er forbudt i Iran, og hvis personen blir identifisert, kan de få fengslingstid.
Videre blir VPN generelt, vanligvis, brukt av aktivister og mennesker som virkelig ikke ønsker å avsløre sin sanne identitet, og de syv appene som eksponerte dataene deres kunne ha satt dem i en svært prekær situasjon. Det er bra at databasen ble sikret og informasjonen ikke lenger er offentlig tilgjengelig. Å få det ned var vanskeligere enn det burde vært.
VPN-leverandørene hevder at de ikke har gjort noe galt
VPNMentors eksperter oppdaget databasen 5. juli, og de satte straks ut for å informere VPN-leverandørene. Bare ett av selskapene svarte innledningsvis, og det så ut til å være usikkert på hva som skjer. Forskernes kommunikasjon med Hong Kongs Computer Emergency Response Team (CERT) bar heller ingen frukt. Fordi serveren var lokalisert i USA, kunne Hong Kongs myndigheter gjøre lite med det.
15. juli ble databasen endelig tatt offline, og forskerne fikk svar fra UFO VPN, den største av de berørte VPN-leverandørene. E-posten sa at UFO VPN oversett konfigurasjonsfeilen på grunn av "personellendringer" relatert til COVID-19-pandemien. De prøvde å forsikre forskerne om at de ikke lagrer brukernes passord i klartekst og at de ikke registrerer noen surfeaktivitet. Lekkasjen i seg selv er et bevis på at dette ikke var tilfelle.
En stund nå har det vært litt av en debatt om det å bruke en VPN er en god ide om du vil skjule identiteten din. Hendelser som denne hjelper absolutt ikke saken for VPN-er, og i løpet av årene har vi hørt om ganske mange tilbydere som ikke gjør nok for å beskytte brukernes personvern. Når det er sagt, kan et godt konfigurert virtuelt privat nettverk som tilbys av et selskap som ikke vil spionere på deg være ekstremt nyttig ikke bare når du vil ha tilgang til innhold som ikke er tilgjengelig i landet ditt, men også når du prøver å opprettholde et nivå av anonymitet. Til slutt beviser lekkasjer som denne at brukere bør være ekstremt forsiktige når de velger en VPN-leverandør.
