La mayoría de los proveedores de servicios VPN afirman que no rastrean a sus usuarios ni mantienen ningún registro. Desafortunadamente, esto no siempre es cierto. Entonces, recientemente, un especialista en Comparitech, Bob Diachenko, descubrió una fuga de datos de usuarios recopilados por un proveedor de VPN que supuestamente no guardaba registros.
Todo comenzó cuando Dyachenko notó un clúster Elasticsearch desprotegido en la red, donde se almacenaron 894 GB de datos pertenecientes al proveedor de VPN UFO. Al final resultó que, lo siguiente fue cuidadosamente registrado en los registros: contraseñas de cuenta (por prueba abierta), secretos y tokens de sesiones VPN, direcciones IP de dispositivos de usuario y servidores VPN a los que se conectaron, marcas de tiempo de conexión, información de ubicación, datos sobre los dispositivos mismos y versiones del sistema operativo, así como dominios web desde los cuales se introdujeron anuncios en los navegadores de los usuarios de la versión gratuita de UFO VPN.
Al mismo tiempo, la política de privacidad de UFO VPN establece que el servicio no rastrea las acciones de los usuarios fuera del sitio web de la compañía y no recopila ningún dato.
Según Comparitech, diariamente se agregan más de 20,000,000 de nuevas entradas a los registros de UFO VPN. Dyachenko escribe que ya el 1 de julio de 2020, advirtió al proveedor sobre la fuga de datos, nunca recibió una respuesta. Solo unas pocas semanas después, la base aún desapareció de la vista y Shodan ya no la detectó cuando un especialista se contactó con el proveedor de UFO VPN.
Los especialistas de VPNmentor también descubrieron esta fuga . Informan que el problema no solo afecta a UFO VPN y sus usuarios, sino a otros seis proveedores de VPN de Hong Kong: FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN y Rabbit VPN. Todos estos nombres parecen conducir a la misma organización que proporciona una especie de base de marca blanca para los servicios de VPN. Y, por supuesto, todos estos proveedores dicen que no guardan ningún registro.
Todos los proveedores enumerados trabajaron con el mismo clúster Elasticsearch no seguro. En total, los investigadores encontraron alrededor de 1.2 TB de datos en el dominio público: 1,083,997,361 registros, muchos de los cuales contienen información confidencial.
Por lo tanto, en los registros puede encontrar información sobre sitios web visitados, registros de conexión, nombres de personas, direcciones de correo electrónico y domicilios particulares de usuarios, contraseñas de texto sin cifrar, información sobre pagos en Bitcoin y Paypal, mensajes al servicio de soporte, especificaciones de dispositivos de usuario e información sobre cuentas
“Cada uno de estos proveedores de VPN afirma que su servicio no mantiene registros, es decir, no registra ninguna actividad del usuario en sus respectivas aplicaciones. Sin embargo, encontramos varias instancias de registros de actividad de Internet en su servidor compartido. Y esto se suma a la información personal, que incluía direcciones de correo electrónico, contraseñas claras, direcciones IP, domicilios, modelos de teléfonos, identificadores de dispositivos y otros detalles técnicos ", escribe VPNmentor.
Los investigadores de VPNmentor incluso crearon una cuenta con uno de los proveedores, después de lo cual la encontraron en los registros, así como información sobre la dirección de correo electrónico, la ubicación, la dirección IP, el dispositivo y los servidores a los que se conectaron.
Los expertos notificaron a los proveedores sobre el problema y la necesidad de eliminar el clúster del acceso abierto, e incluso informaron la situación a HK-CERT, pero no se tomaron medidas para solucionar el incidente de inmediato.
Solo ahora, unas semanas más tarde, los representantes de UFO VPN emitieron una declaración oficial y anunciaron que debido a la pandemia de coronavirus, no pudieron proteger adecuadamente los datos del usuario y no notaron a tiempo que se cometió un error en la configuración del firewall.
El proveedor también asegura que los registros descubiertos por los expertos eran anónimos y se almacenaban únicamente con el propósito de monitorear el ancho de banda, aunque algunos registros podrían contener direcciones IP, así como tokens y secretos de cuenta. El proveedor insiste en que no había contraseñas de texto claro en los registros, y los expertos confundieron las contraseñas con algo más, por ejemplo, tokens de sesión. En términos de direcciones de correo electrónico, UFO VPN explica que a veces los usuarios envían comentarios que contienen direcciones de correo electrónico, pero menos del uno por ciento.
Los expertos de Comparitech y VPNmentor no están de acuerdo con la posición del proveedor y escriben que los datos encontrados definitivamente no son anónimos. Recomiendan que todos los usuarios cambien sus contraseñas.
0 Comentarios