Usługi typu VPN w teorii powinny gwarantować prywatność i anonimowość internautom, którzy postanawiają z nich korzystać. Częstym dodatkowym zapewnieniem ze strony usługodawców jest tzw. „polityka braku logów”, czyli obietnica nie zbierania jakichkolwiek danych o użytkownikach. Niestety, bardzo często ów brak logów jest jedynie pustym hasłem marketingowym. Aż siedmiu popularnych dostawców VPN zostało właśnie przyłapanych na gromadzeniu informacji o swoich klientach – stało się to przy najgorszej z możliwych okazji.
Wyciek 1,2 TB danych klientów znanych VPNów
Aż 1,2 TB logów użytkowników siedmiu VPNów z siedzibą w Hong Kongu – UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN i Rabbit VPN – pojawiło się w sieci w niezabezpieczonej bazie danych.
Jako pierwszy wyciek dostrzegł Bob Diachenko z Comparitech, który donosił o pozbawionej zabezpieczeń paczce danych opiewającej na 894 GB i przypisanej do UFO VPN. Informacje zawierały hasła do kont w postaci czystego tekstu (!), tokeny i szczegóły sesji VPN, adresy IP urządzeń użytkowników i serwerów VPN, z którymi się łączyli, znaczniki czasu połączenia, informacje o lokalizacji, charakterystykę urządzeń i wersje systemu operacyjnego oraz domeny internetowe, z których reklamy były umieszczane w przeglądarkach użytkowników darmowej wersji UFO VPN.
Kolejne doniesienia przekazał Noam Rotem z VPNmentor, który podał, że wyciek jest znacznie większy i obejmuje także sześć innych VPNów. Łącznie w Internecie znalazło się 1 083 997 361 niezabezpieczonych wpisów dotyczących użytkowników wyżej wymienionych VPNów. Klaster zawierał przynajmniej niektóre rekordy odwiedzanych stron internetowych, dzienniki połączeń, nazwiska użytkowników, adresy e-mail subskrybentów i adresy domowe, hasła w postaci czystego tekstu, informacje o płatnościach Bitcoin i Paypal, wiadomości do obsługi klienta, specyfikacje urządzeń, i informacje o koncie.
Kuriozalne tłumaczenie dostawców VPN
Diachenko 14 lipca przekazał informację o wycieku do UFO VPN. W konsekwencji, już kolejnego dnia dane zniknęły – w 18 dni po zaindeksowaniu ich (!) w wyszukiwarce Shodan.io. Przedstawiciele VPN tłumaczyli się, że pracownicy nie zabezpieczyli należycie danych w wyniku… pandemii koronawirusa. Podano także, że logi były trzymane wyłącznie celem śledzenia wydajności przepływu ruchu, a dane były anonimizowane. Stoi to w oczywistej sprzeczności o zapewnieniach o polityce braku logów. Podano także, że hasła nie były przechowywane w formie czystego tekstu.
Przedstawiciele Comparitech i VPNmentor w odpowiedzi podali, że usługodawca mija się z prawdą, a dane nie były anonimizowane. Niestety, tego typu kłamstwa pośród dostawców VPN zdarzały się całkiem często na przestrzeni ostatnich lat.
Jeśli korzystaliście z któregoś z powyższych VPN, zmieńcie swoje hasła.
Źródło: Comparitech, VPNmentor