Масштабная утечка данных: базы пользователей VPN-сервисов оказались в открытом доступе

21 июля 2020 | 15:00

Исследователи кибербезопасности заметили, что сразу несколько популярных VPN-сервисов хранили свои базы пользователей в незащищенном виде, из-за чего случилась утечка этих данных.

Об этом сообщает The Register и ряд других СМИ.

Утечку заметили исследователи из VPNMentor и Comparitech. В базах оказалось около 1,2ТБ пользовательских данных, включая незашифрованные пароли, активность в сети, данные о платежах в биткоинах и на PayPal, и о выходе в сеть, и т.д.

Утечка затронула семь сервисов: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN.

Предположительно, данные хранились в незащищенном виде на сервере ElasticSearch. Все упомянутые компании расположены в Гонконге. При этом, к примеру, UFO VPN в своей пользовательской политике утверждает, что не отслеживает активность своих пользователей (те данные, которые фигурируют в утечке).

В VPNMentor предполагают, что минимум у трех компаний из упомянутых — общий разработчик, поскольку у них принимает платежи одна и та же компания, Dreamfii HK Limited, похоже брендирование сайтов и т.д.

VPNMentor сообщили владельцам всех сервисов об утечке, но большинство или не ответило, или пропало из общения. В UFO VPN ответили, что информация на указанном сервере была анонимной, что компания не собирает данные о пользователях, и что пароли в базе на самом деле являются не паролями, а токенами для соединения с VPN-серверами. Но в VPNMentor назвали это утверждение некорректным.

Исследователи отмечают, что такая утечка может привести к случаям мошенничества, шантажа, хакерских атак.

В The Register в связи с этим советуют читателям разворачивать собственные VPN, используя open source-софт вроде Algo, Outline, WireGuard. Либо же, используя VPN-сервис, учитывать тот факт, что ему может быть доступна вся информация, которую обычно «видит» интернет-провайдер.

Ранее сообщалось, что работники правоохранительных органов провели 36 обысков в десяти регионах в ходе спецоперации "Дата", целью которой было расследовать утечку и распространение персональных данных граждан из государственных и частных баз данных.