שרת פתוח יחיד רשום שמות, סיסמאות, כתובות דוא"ל וכתובות בית של משתמשים משירותי VPN שונים המבוססים על הונג קונג.
Σלדברי חוקרי האבטחה שלה vpnMentor, שבעה שירותי VPN, שמתיימרים לעולם לא לתעד פעילות משתמשים, נמצאו שעושים בדיוק את זה - ומדליפים את המידע הזה באינטרנט.
מוקדם יותר החודש, vpnMentor הוא גילה שרת פתוח יחיד שהכיל מידע משתמש עבור שבעה שירותי VPN שונים מבוססי הונג קונג, כולל UFO VPN, VPN מהיר ו-VPN בחינם.
בסך הכל, השרת הכיל 1,2 TB של נתונים, כולל שמות, סיסמאות, כתובות דואר אלקטרוני וכתובות בית מרובות משתמשים. אבל הממצא המדאיג באמת היה יומני פעילות מאוחסנים, שיכולים לחשוף באילו אתרים משתמשים מבקרים ודרכם מזהי משתמשים, כתובות IP ומכשירים.
זהו אירוע ראוי להערצה, מכיוון שרוב מנויי ה-VPN עושים זאת כדי להגן על פרטיותם. עם זאת, השרת החשוף נתן למעשה לכל אחד, דרך קלה לעקוב אחר פעילותם של עד 20 מיליון משתמשים.
כל הספקים המושפעים טוענים שהם מציעים שירותי VPN "ללא רישום", מה שאומר שהם לעולם אינם מתעדים פרטים על פעילות המשתמשים. עם זאת, השרת החשוף מעיד שזה לא המקרה. VpnMentor קבעה: "במקרים מסוימים, משתמשים ביקרו באתרים לא חוקיים במדינות שבהן הצגת תוכן כזה אסורה ובעלת עונשין".
על פי החקירה, נראה שהשרת החשוף שייך לחברה, המציעה שירותי VPN ב-7 שמות שונים. VpnMentor יצר קשר עם הספקים המושפעים ב-5 ביולי, אך בסופו של דבר נאלץ לעבור ב-15 ביולי עד שהשרת החשוף יאבטח.
UFO VPN אמר לחוקרים: "עקב שינויים בצוות עקב COVID-19, לא מצאנו מייד באגים בחוקי חומת האש של השרת, שעלולים להוביל לסיכון פוטנציאלי להפרה. אבל עכשיו זה תוקן." ה-VPN של ה-UFO ציין גם כי כל המידע בשרת הוא "אנונימי" ופשוט שימש לניתוח הביצועים של רשת המשתמשים.
VpnMentor אומר שזה לא המקרה. כדי לאמת את הממצאים שלהם, החוקרים בדקו את אפליקציית UFO VPN והבחינו שיומני פעילות המשתמש הופיעו בשרת החשוף בזמן אמת. הם עצמם הצהירו: "בנוסף, יכולנו לראות בבירור את שם המשתמש והסיסמה שבה השתמשנו ליצירת החשבון שלנו, אשר נשמרו ביומנים כטקסט ברור."
התקרית מדגישה שחלק מספקי VPN הם רק רמאים. חוקר האבטחה קנת וייט הוא צייץ בטוויטרלקח: שירותי VPN מסחריים משקרים. שקרים רבים".
לשירות VPN "ללא רישום" היו מיליוני יומני משתמשים שנחשפו בשרת Elasticsearch פתוח, כולל סיסמאות טקסט רגיל, גיאוגרפי וכתובות IP ולקח שבועיים+ לסגור לאחר שקיבלו הודעה.
לקח: שירותי VPN מסחריים משקרים. הרבה.
- קן ווייט (@ kenwhite) 16 ביולי 2020
אם אתה מנוי ל-UFO VPN או לששת הספקים האחרים, אנו מציעים לך למצוא חלופה טובה יותר. כמו כן, חלק מספקי VPN עברו בדיקת אבטחה כדי להראות שהם יישמו את מדיניות "ללא רישום". אחרים לְשַׁתֵף פְּעוּלָה ב"יוזמת אמון" כדי להבטיח שתעשיית ה-VPN תשתמש בשיטות עבודה מומלצות לאבטחה ופרטיות המשתמשים שלה.