Atenție la serviciile VPN gratuite! O breșă a expus 360 de milioane de înregistrări
0O încălcare a securității datelor a avut loc pe un serviciu VPN gratuit, rezultând expunerea publică a peste 360 de milioane de înregistrări, potrivit unui nou raport.
O bază de date fără parolă, care conține peste 360 de milioane de înregistrări, a fost descoperită de cercetătorul de securitate cibernetică de la vpnMentor, Jeremiah Fowler, care a spus că înregistrările sunt legate de o încălcare a datelor VPN.
Au fost expuse 360.308.817 înregistrări, însumând 133 gigaocteți de date. Tipurile de date expuse au inclus:
- adrese de e-mail;
- adrese IP originale;
- înregistrări ale serverelor utilizate;
- numere de identificare a utilizatorului aplicației unice;
- numere UUID;
- localizare geografică;
- informații despre dispozitiv;
- versiune VPN;
- tip de conexiune la internet;
- sistem de operare;
- solicitări de rambursare;
- link-uri către site-urile web pe care le folosesc utilizatorii.
Toate informațiile de mai sus prezintă o problemă majoră de securitate, istoricul de internet al utilizatorilor fiind unul dintre cele mai periculoase, oferind o bază de date cu persoane de șantajat oricărui potențial actor de amenințare.
Fowler a spus că înregistrările aproape toate se referă „SuperVPN”, care, la o inspecție ulterioară, este un program care se comercializează ca un serviciu VPN gratuit.
„Există două aplicații numite SuperVPN disponibile oficial atât în magazinele de aplicații Apple, cât și în Google. Potrivit paginii magazinului de aplicații Google, au un total de 100 de milioane de descărcări în întreaga lume”, a spus Fowler.
„În mod remarcabil, cele două aplicații numite SuperVPN sunt create de dezvoltatori separați atât pe Google Play, cât și pe magazinul de aplicații Apple.
„SuperVPN pentru iOS, iPad și macOS este dezvoltat de Qingdao Leyou Hudong Network Technology Co., în timp ce a doua aplicație cu același nume este dezvoltată de SuperSoft Tech.”
Thomas Uhlemann, Security Specialist pentru ESET spune despre această breșă de date:”Un furnizor de VPN ar trebui să facă în mod normal exact ceea ce sugerează numele (Virtual Private Network): să furnizeze o rețea privată, pentru a împiedica și preveni ca informațiile private să fie spionate sau furate.
Oferirea unor astfel de servicii necesită ca furnizorul să includă confidențialitatea și securitatea datelor în fiecare pas și proces. Fundamentul acestui lucru este colectarea datelor strict necesare pentru funcționare și protejarea informațiilor utilizatorilor cu mijloace de ultimă generație, cum ar fi criptarea și controlul robust al accesului.
Utilizatorii care caută un furnizor VPN de încredere ar trebui să facă întotdeauna o mică verificare a acestuia și să își pună aceste întrebări:
• Ce companie furnizează serviciul și dacă există un istoric de încălcări sau vulnerabilități?
• Din ce țară își desfășoară activitatea? Deoarece acest lucru implică respectarea legile locale, în China sau SUA ar putea să i se solicite furnizorului să partajeze datele despre utilizatori cu organele de aplicare a legii și cu alte entități, fără o notificare prealabilă a acestuia. În mod similar, companiile din UE trebuie să aplice restricții UE-GDPR.
• Operează o rețea proprie de servere pentru a direcționa traficul utilizatorilor sau se bazează pe un alt furnizor? Dacă este implicată o terță parte, trebuie verificată și aceasta. Dacă nu sunt furnizate informații despre acest subiect, ar putea fi mai sigur să alegeți un alt furnizor.”