Популярный VPN-сервис SuperVPN оказался маскированной фермой данных, которая хранила и продавала персональные данные своих пользователей.
Джеремайя Фаулер обнаружил серьезное нарушение безопасности в открытой базе данных, связанной с популярным бесплатным VPN-сервисом SuperVPN. В базе данных содержалось 360 308 817 записей, общим объемом 133 ГБ. В этих записях была обнаружена широкий спектр конфиденциальной информации, включая адреса электронной почты пользователей, исходные IP-адреса, геолокационные данные и записи об использовании серверов.
Кроме того, в результате утечки были раскрыты секретные ключи, уникальные номера пользователей приложения и номера UUID, которые могут быть использованы для идентификации дополнительной полезной информации.
Другая информация, найденная в базе данных, охватывала модели телефонов или устройств, операционные системы, типы интернет-соединений и версии VPN-приложений. Кроме того, в утечке присутствовали запросы на возврат средств и данные об оплаченных аккаунтах.
Несмотря на то, что SuperVPN утверждает, что не хранит журналы пользователей, утечка данных показывает обратное и противоречит политике компании. Это также свидетельствует о том, что “Почти каждый крупный бесплатный VPN-сервис является маскированной фермой данных”.
С ростом обеспокоенности по поводу онлайн-конфиденциальности и безопасности спрос на VPN-сервисы возрос в последние годы. В результате рынок стал свидетелем значительного увеличения количества VPN-приложений, доступных для пользователей.
Однако этот скачок предложений привел к тревожному количеству VPN-приложений, которые ненадежны и не обеспечивают ожидаемого уровня конфиденциальности и безопасности. Это приводит к контрпродуктивному пользовательскому опыту, поскольку отсутствие адекватных протоколов безопасности подвергает их информацию риску быть утраченной в результате нарушения данных.
По данным отчета vpnMentor, большинство записей в утечке данных были связаны с SuperVPN - бесплатным VPN-приложением, доступным как в Apple App Store, так и в Google Play Store.
Кроме того, исследователи отметили два приложения с названием SuperVPN, каждое из которых принадлежало разным разработчикам. Qingdao Leyou Hudong Network Technology Co. была разработчиком SuperVPN для iOS, iPad и macOS, а SuperSoft Tech разработала второе приложение с тем же названием.
Однако важно отметить, что это НЕ первый раз, когда SuperVPN обвиняется в утечке персональных данных своих ничего не подозревающих пользователей. На самом деле, как сообщал SecurityLab.ru в мае 2022 года, SuperVPN был в списке бесплатных VPN-сервисов , e которых утекли данные более 21 миллиона пользователей.
В отчете vpnMentor Фаулер заметил, что электронные адреса службы поддержки клиентов SuperVPN были связаны с StormVPN, Luna VPN, RocketVPN и GhostVPN. Кроме того, ссылки на каждого из этих VPN-провайдеров были замечены в базе данных.
Хотя нет способа подтвердить, что все они принадлежат одной и той же компании, это не стало бы сюрпризом если бы это было так. Распространение ненадежных VPN-приложений может быть приписано профитным разработчикам стремятся извлечь выгоду из растущего спроса на конфиденциальность и безопасность.
Индустрия VPN стала высокодоходной с миллионами пользователей по всему миру, которые стремятся найти надежные решения для защиты своего онлайн-присутствия. В этой ситуации некоторые разработчики отдают приоритет денежным выгодам над безопасностью пользователей фокусируясь на быстрой и дешевой разработке маркетинге и распространении VPN-приложений.
Поэтому для одной компании производить несколько VPN-приложений с разными названиями и слегка различающимся функционалом, позволяет ей охватить больше пользователей.
При выборе бесплатного VPN-сервиса необходимо быть осторожным и учитывать определенные красные флаги которые указывают на потенциальные риски. К ним относятся:
Нечеткие политики сбора и использования данных: Убедитесь что VPN-сервис не хранит вашу интернет-активность чтобы избежать риска продажи данных рекламодателям или третьим сторонам.
Отсутствие прозрачности: Обратите внимание на отсутствие раздела “О нас” на официальном сайте VPN-провайдера так как это может указывать на отсутствие информации о том кто обрабатывает вашу информацию.
Защита от DNS-утечек: Убедитесь что VPN-сервис предлагает защиту от DNS-утечек чтобы предотвратить просмотр вашего интернет-провайдером вашей онлайн-активности.
Слабое шифрование: Избегайте VPN которые предлагают шифрование слабее чем 128-битное или 256-битное AES так как это повышает риск компрометации вашей информации.
Отрицательные отзывы: читайте отзывы пользователей и консультируйтесь с авторитетными обзорными сайтами, чтобы оценить опыт и опасения других пользователей, прежде чем выбрать услугу VPN.Понимая факторы, способствующие избытку VPN-приложений , определяя риски, связанные с их использованием, и внедряя меры по снижению этих рисков, пользователи могут сделать более осознанный выбор для защиты своей конфиденциальности и безопасности в Интернете.
Подробнее о том как правильно выбрать надежный VPN читайте в нашей статье .
Собираем и анализируем опыт профессионалов ИБ