Un único servidor abierto enumeraba los nombres, contraseñas, direcciones de correo electrónico y domicilios de los usuarios de varios servicios de VPN con sede en Hong Kong.
Σsegún sus investigadores de seguridad vpnMentor, se ha descubierto que siete servicios VPN, que afirman no registrar nunca la actividad del usuario, hacen precisamente eso, y filtran esta información en línea.
A principios de este mes, vpnMentor El descubrió un único servidor abierto que contenía información del usuario para siete servicios VPN diferentes con sede en Hong Kong, incluidos VPN UFO, VPN rápida y VPN gratuita.
En total, el servidor contenía 1,2 TB de datos, incluidos nombres, contraseñas, direcciones de correo electrónico y direcciones de casa de varios usuarios. Pero el hallazgo realmente preocupante fueron los registros de actividad almacenados, que pueden revelar qué sitios visitan los usuarios y a través de qué ID de usuario, direcciones IP y dispositivos.
Este es un evento admirable, ya que la mayoría de los suscriptores de VPN lo hacen para proteger su privacidad. Sin embargo, el servidor expuesto brindó a prácticamente cualquier persona una manera fácil de rastrear la actividad de hasta 20 millones de usuarios.
Todos los proveedores afectados afirman ofrecer servicios VPN "no registrados", lo que significa que nunca registran detalles de la actividad de los usuarios. Sin embargo, el servidor expuesto indica que este no es el caso. VpnMentor declaró: "En algunos casos, los usuarios han visitado sitios web ilegales en países donde la exhibición de dicho contenido está prohibida y es punible".
Según la investigación, el servidor expuesto parece pertenecer a una empresa, que ofrece servicios VPN con 7 nombres diferentes. VpnMentor se puso en contacto con los proveedores afectados el 5 de julio, pero finalmente tuvo que hacerlo el 15 de julio hasta que el servidor expuesto estuviera protegido.
La VPN UFO dijo a los investigadores: "Debido a los cambios de personal debido a COVID-19, no encontramos errores de inmediato en las reglas del firewall del servidor, lo que podría generar un riesgo potencial de incumplimiento. Pero ahora se ha corregido. " La VPN UFO también declaró que toda la información en el servidor era "anónima" y se usaba simplemente para analizar el rendimiento de la red de los usuarios.
VpnMentor dice que este no es el caso. Para verificar sus hallazgos, los investigadores probaron la aplicación UFO VPN y notaron que los registros de actividad del usuario aparecían en el servidor expuesto en tiempo real. Ellos mismos declararon: “Además, pudimos ver claramente el nombre de usuario y la contraseña que usamos para crear nuestra cuenta, que se almacenaron en los registros como texto sin cifrar."
El incidente señala que algunos proveedores de VPN son solo estafadores. Investigador de seguridad Kenneth White el tuiteóLección: Los servicios de VPN comerciales mienten. Muchas mentiras ".
Un servicio VPN "sin registro" tenía millones de registros de usuarios expuestos en un servidor Elasticsearch abierto, incluidas contraseñas de texto sin formato, geografía e IP, y tardó más de 2 semanas en cerrarse después de recibir la notificación.
Lección: los servicios de VPN comerciales mienten. Mucho.
- Kenn White (@kennwhite) 16 de Julio de 2020
Si se suscribe a UFO VPN oa los otros seis proveedores, le sugerimos que busque una alternativa mejor. Además, algunos proveedores de VPN han pasado por un control de seguridad para demostrar que han implementado la política de "no registro". Otros cooperar en una "iniciativa de confianza" para garantizar que la industria de las VPN utilice las mejores prácticas para la seguridad y privacidad de sus usuarios.