Небезпеки використання VPN. Історія про те, як викрали дані 20 млн користувачів з UFO VPN
20 липня 2020 р.
Дані 20 млн користувачів UFO VPN зламані, викрадені і знаходяться у відкритому доступі.
Гонконзький провайдер VPN UFO опублікував в Інтернеті базу даних журналів користувачів і записів доступу до API без пароля або будь-якої іншої ідентифікації, необхідної для доступу до неї. Відкрита інформація містить текстові паролі та інформацію, яка може бути використана для ідентифікації користувачів VPN і відстеження їх активності в Інтернеті.
Боб Дьяченко, який очолює дослідницьку групу Comparitech з безпеки, виявив вразливість, що стосується як безкоштовних, так і платних користувачів UFO VPN. Після того, як відкриті дані були захищені, вони були повторно опубліковані 20 липня на іншій IP-адресі.
UFO VPN стверджує, що на його веб-сайті знаходиться 20 мільйонів користувачів, а база даних налічує понад 20 мільйонів записів.
Через понад два тижні після того, як Comparitech відправили повідомлення UFO VPN, компанія закрила базу даних і відправила відповідь електронною поштою:
«Через кадрові зміни, викликані COVID-19, ми не виявили помилок у правилах брандмауера сервера, що могли б призвести до потенційного ризику злому. І тепер це виправлено».
«Ми не збираємо ніякої інформації для реєстрації», — заявив представник. На цьому сервері уся зібрана інформація є анонімною і може використовуватися тільки для аналізу продуктивності мережі користувача і проблем, щоб покращити якість обслуговування. Але, на підставі деяких даних, ці дані є не зовсім анонімними. Ми рекомендуємо користувачам UFO VPN негайно змінити свої паролі. А також змінити паролі від інших сервісів, якщо вони збігаються. Ще 27 червня сервер, на якому були розміщені дані був проіндексований пошуковою системою Shodan.io
Які дані були зламані та опубліковані в загальнодоступну мережу:
894 ГБ даних були збережені в незахищеному кластері Elasticsearch. UFO VPN стверджує, що дані були «анонімними», але, ґрунтуючись на наявних даних, ми вважаємо, що записи користувачів і записи доступу API містили наступну інформацію:
- – Паролі облікового запису в текстовому вигляді
- – Паролі та токени VPN-сесій
- – IP-адреси як пристроїв користувачів, так і серверів VPN, до яких вони були під’єднані
- – Час під’єднання
- – Гео-дані користувача
- – Характеристики пристрою та її ОС
- – URL-адреси, з яких реклама додається в безкоштовні веб-браузери користувачів.
Значна частина цієї інформації суперечить політиці конфіденційності UFO VPN, в якій зазначається:
«Ми не відстежуємо дії користувачів за межами нашого Сайту, а також не відстежуємо дії з перегляду та під’єднання користувачів, що користуються нашими Послугами».
Політику конфіденційності UFO VPN можна переглянути тут.
Небезпеки розкритих даних UFO VPN
Паролі у вигляді простого тексту є найбільшою прямою загрозою. Хакери можуть не тільки використовувати їх для злому облікових записів VPN з використанням UFO, але також можуть здійснювати атаки з використанням облікових даних на інші облікові записи. Якщо один і той самий пароль використовується для декількох облікових записів, усі вони можуть бути скомпрометовані.
IP-адреси можна використовувати для визначення місцеперебування користувачів і підтвердження їх активності в Інтернеті. VPN часто використовується для приховування реальних місць розташування користувачів і активності в мережі.
Дані сеансів та токени можна використовувати для розшифрування даних підключень, які зловмисник міг отримати. Наприклад, якщо зловмисник перехопив зашифровані дані, відправлені через VPN в зламаній мережі Wi-Fi, він міг би розшифрувати ці дані. Не забувайте використовувати захищений протокол SSL і HTTPS для своїх ресурсів.
Адреси електронної пошти можуть бути використані для таргетингу користувачів з урахуванням фішингових повідомлень (атак) і шахрайства. А також ці дані можна використовувати для атаки на користувачів, які раніше не задумувались про кібербезпеку відеоконференцій.
Ця ситуація демонструє, чому ми регулярно попереджаємо читачів уникати безкоштовних сервісів VPN, які, як правило, мають неякісні стандарти безпеки та конфіденційності. За ідеальним сценарієм, служба VPN не повинна вести журнали, включаючи IP-адреси.
Хто такий UFO VPN
UFO VPN — це провайдер VPN сервісу з Гонконгу, який заявляє, що обслуговує 20 мільйонів користувачів на своєму веб-сайті. Він стверджує, що користується політикою не збереження логів і «захистом банківського рівня». Компанія пропонує як безкоштовні, так і платні плани. UFO VPN заявляє, що з точки зору маркетингу, в його центрі уваги є можливість відвідування заблокованих сайтів. Він обіцяє доступ до заблокованих веб-сайтів, додатків і сервісу потокового відео, таких як Netflix.
Непогана пропозиція як для звичайного сервісу VPN доступу, чи не так? Не забувайте мислити критично і зберігайте свої дані в надійних місцях.
Ваш Datami.