Сразу несколько провайдеров VPN с «без регистрации» обвинили в открытом хранении пользовательских журналов, которые оказались доступны в интернете. В сети появилось 1,2 ТБ данных, которые в некоторых случаях включают пароли, личную информацию и список посещенных веб-сайтов, всего более миллиарда записей.
Первым утечку обнаружил Боб Дьяченко из Comparitech. Он нашел 894 ГБ записей в незащищенном кластере Elasticsearch, который принадлежал UFO VPN. База включала пароли, токены сеансов VPN, IP-адреса пользовательских устройств и серверов VPN, к которым они подключались, временные метки подключения, информация о местоположении, характеристиках устройства и версиях ОС. Сервер впервые был проиндексирован поисковиком Shodan 27 июня.
При этом в политике конфиденциальности UFO говорится: «Мы не отслеживаем действия пользователей за пределами нашего сайта, а также не отслеживаем действия по просмотру и подключению пользователей, использующих наши сервисы». Однако провайдер, по крайней мере, регистрировал подключения к своему сервису.
По данным Comparitech, в эти журналы добавляется более 20 миллионов записей в день, а общее число пользователей UFO достигает 20 млн человек.
Дьяченко заявил, что он предупредил провайдера об обнаруженной базе 1 июля, но так и не получил ответа.
Уже 5 июля команда Ноама Ротема из VPNmentor обнаружила аналогичные базы. Они принадлежат семи провайдерам VPN из Гонконга — UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.
Эти провайдеры передавали данные в Интернет из незащищенного кластера Elasticsearch. Они включали записи посещенных веб-сайтов, журналы подключений, имена людей, адреса электронной почты и домашние адреса подписчиков, текстовые пароли, информацию о платежах в биткойнах и PayPal, сообщения в службу поддержки, спецификации устройств, и информацию об учетной записи.
«Каждая из этих виртуальных частных сетей утверждает, что их сервисы не требуют регистрации, то есть, не регистрируют какую-либо активность пользователей в соответствующих приложениях», — отметили исследователи. — «Однако мы обнаружили несколько экземпляров журналов интернет-активности на их общем сервере».
VPNmentor создал учетную запись у одного из провайдеров и обнаружил ее в журналах, в частности, «адрес электронной почты, местоположение, IP-адрес, устройство и серверы, к которым подключались». Команда предупредила провайдеров об необходимости вывести кластер из общего доступа, но не было предпринято никаких действий.
Дьяченко 14 июля предупредил хостинг-провайдера UFO VPN о том, что его база данных не защищена, и на следующий день она была скрыта. Провайдер обвинил в утечке пандемию коронавируса: «Из-за кадровых изменений, вызванных COVID-19, мы не обнаружили ошибок в правилах брандмауэра сервера сразу, что может привести к потенциальному риску взлома».
Компания также утверждает, что ее журналы были сохранены только для мониторинга производительности трафика и были анонимными, хотя некоторые записи содержали IP-адреса людей, а также токены и другую информацию учетных записей. Однако наличие в нем паролей провайдер все равно отрицает.
Comparitech и VPNmentor опровергли это утверждение. Там посоветовали пользователям UFO VPN немедленно сменить свои пароли, а также сменить аналогичные пароли, которые могут использоваться в других учетных записях.
См. также:
