Данные пользователей ряда VPN-приложений свободно доступны через интернет

Данные пользователей ряда VPN-приложений свободно доступны через интернет

В Сети обнаружен незащищенный сервер с персональной информацией и данными об активности в интернете 20 млн человек.

Исследовательская команда vpnMentor обнаружила в открытом доступе незащищенный сервер популярных бесплатных VPN-приложений, хранящий пользовательские данные. Отсутствие элементарной защиты в таком продукте безопасности, как VPN-приложение, не только вызывает большое удивление, но также демонстрирует полное пренебрежение их разработчиков стандартными практиками VPN, ставящее пользователей под угрозу.

По словам исследователей, сервер используется приложениями UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Судя по количеству их пользователей, на сервере хранится персонально идентифицируемая информация более 20 млн человек, в том числе электронные адреса, незашифрованные пароли, IP-адреса, домашние адреса, данные о моделях смартфонов, идентификаторы устройств и другие технические подробности. Всего на сервере была обнаружена 1 083 997 361 запись общим объемом 1,207 ТБ.

Хотя вышеперечисленные приложения позиционируются как «no-log» (то есть, не фиксируют активность пользователей), исследователи обнаружили на сервере множество записей об активности пользователей в интернете.

Поскольку все данные хранятся на одном сервере Elasticsearch и размещены в одних и тех же активах, а получателем платежей для приложений значится одна и та же гонконгская компания Dreamfii HK Limited, исследователи предположили, что они были созданы одним и тем же разработчиком, но используются под разными брендами.

Исследователи попытались связаться с издателями приложений, разработчиком, гонконгским CERT и несколькими журналистами. Добиться ответа им удалось далеко не от всех издателей. Однако даже если и получилось связаться, диалог был практически безрезультатным. Представители Dreamfii попытки связаться с ними проигнорировали. В CERT ответили, что «поскольку IP-адреса расположены в США, а предоставленная информация не имеет отношения к Гонконгу», исследователям нужно обратиться в американский CERT или предоставить больше данных, свидетельствующих о связи утечки с Гонконгом.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!