Данные 20 млн пользователей бесплатных VPN-сервисов оказались в открытом доступе

Эксперты нашли на открытых серверах данные 20 миллионов пользователей бесплатных VPN-сервисов. Об этом пишет исследовательская группа vpnMentor. В группу риска попали пользователи приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.



В открытом доступе оказались адреса электронной почты, мобильные идентификаторы, незащищённые пароли, журналы с активностью пользователей и многое другое. Общий объём данных составил 1,2 терабайта. У многих приложений, данные которых оказались в сети, более миллиона скачиваний в Google Play и App Store и высокий пользовательский рейтинг. Кроме этого, разработчики приложений обещали своим пользователям «защиту, идентичную криптосистемам военного уровня».


Пример хранения данных одного из иранских пользователей сервиса

Для проверки базы данных исследователи скачали приложение UFO VPN. После его использования, эксперты нашли данные о своей активности на обнаруженном сервере. Это подтвердило реальность опубликованных сведений.


Пример хранения платёжной информации при оплате через PayPal

Эксперты нашли базу данных 5 июля. Они пытались несколько раз связаться с разработчиками, после чего обратились в HKCERT (Гонконгский координационный центр по реагированию на компьютерные угрозы). 15 июля базу данных закрыли. Исследователи также рекомендовали пользователям вышеупомянутых приложений сменить VPN-сервис.

По словам исследователей, пользовательские данные, слитые в сеть в результате этой утечки, могут быть использованы киберпреступниками для фишинга, вымогательства и шантажа.

Кроме того, некоторые юзеры, пострадавшие из-за халатности владельцев VPN, могут оказаться в тюрьме — зачастую подобными сервисами пользуются люди, живущие в авторитарных странах с репрессивной политикой. Будучи деанонимизированными, они станут легкой мишенью для местных властей.

Как заявили в vpnMentor, есть вероятность того, что все сервисы, потерявшие данные своих пользователей, принадлежат одному разработчику. На это указывает тот факт, что они пользуются общим серверов ElasticSearch. Кроме того, все платежи по услугам с этих сервисов направляются на адрес одного получателя — Dreamfii HK Limited. По меньшей мере у трех из вышеобозначенных сервисов практически идентичный брендинг на их сайтах. ​

 

я чет не понял, если я через эти впн на юхак зайду мой пароль на этих сайтах будет в общем доступе?
адрес эл почты видимо на который этот впн регался естественно он будет спален
платный впн тоже может инфу слить если властям понадобится, получается его использование бесполезно?

 

Не все платные впн сервисы собирают о тебе информацию, был какой то сайт со сравнением различных сервисов. Но на заборе х*й написан, а за ним дрова лежат

 

У себя нашел один из статьи впн, обидно. Удалил. Но уже в интернетах есть :(

 

а что есть то? пароли твои ? посмотрят куда ты заходил через впн? и что? в чем опасность то , я так и непонял, это и провайдер твой знает куда ты заходил на какие сайты

 

Это уже вопрос к ребятам которые создали эти приложения и для чего они собирали информацию. Но зачем то это было сделано - ведь так?
Пройти апл стор при выкладывании приложения, как я знаю, не так и просто. Не гринлайт в стиме. И просто куда заходил собрать инфу, не думаю что именно на это было нацелено.

 

при таких раскладах любое приложение скачанное из гугл маркета и апп стора опасно, ведь там оно запрашивает и инфу о контактах и доступ к фотогалерее, хотя щас у 90 % в инстаграмме все фотки лежат сами все выкладывают
некоторых можно и вообще не отслеживать зашел в инсту или вк и уже видишь где он сейчас находится и что делает, сами на себя инфу сливают

 

Все верно говоришь

 

я как раз один из тех кто в вк без фоток)) я про это и пишу что все уже слито давно многими из нас

 

Сам не смотрел, но показали, как в недавних обновлениях IOS ты давал согласие на отправку твоей геопозиции на сервера апл

 

Это я в глаза долбился, все верно говоришь

 

https://thatoneprivacysite.net/

 

Любой впн дыра!