„Nulové protokoly“ VPN odhaluje miliony protokolů včetně uživatelských hesel, data nároků jsou anonymní
Poskytovatel VPN UFO VPN se sídlem v Hongkongu odhalil na webu databázi uživatelských protokolů a záznamů o přístupu k API bez hesla nebo jakéhokoli jiného ověření potřebného pro přístup. Mezi vystavené informace patří hesla ve formátu prostého textu a informace, které lze použít k identifikaci uživatelů VPN a sledování jejich online aktivity.
Bob Diachenko, který vede bezpečnostní výzkumný tým Comparitech, odhalil expozici, která se týká bezplatných i placených uživatelů UFO VPN. Okamžitě upozornil společnost na odhalení vystavených dat 1. července 2020.
Aktualizace 21. července 2020:Poté, co byla odhalená data zabezpečena, znovu se objevila 20. července podruhé na jiné IP adrese. Tato datová sada, o které se domníváme, že ji UFO VPN odhalila podruhé, byla ještě větší a obsahuje záznamy až z 19. července.
Není jasné, kolik uživatelů je postiženo, ale naše zjištění naznačují, že potenciálně mohou být ohroženi všichni uživatelé, kteří se připojili k UFO VPN v době expozice. UFO VPN tvrdí, že má na svém webu 20 milionů uživatelů a databáze odhalila více než 20 milionů protokolů denně.
Více než dva týdny poté, co jsme poslali oznámení do UFO VPN, společnost uzavřela databázi a odpověděla e-mailem: „Vzhledem k personálním změnám způsobeným COVID-19 jsme okamžitě nenašli chyby v pravidlech brány firewall serveru, které povedou na potenciální riziko hacknutí. A teď je to opraveno.'
'Neshromažďujeme žádné informace pro registraci,' řekl mluvčí. „Na tomto serveru jsou všechny shromážděné informace anonymní a slouží pouze k analýze výkonu sítě a problémů uživatele za účelem zlepšení kvality služeb. Zatím žádné informace neunikly.' [sic]
Ale na základě některých ukázkových dat se domníváme, že tato data nejsou anonymní. Jsme v kontaktu s UFO VPN, abychom ověřili naše zjištění a podle toho aktualizujeme tento článek.
Doporučujeme uživatelům UFO VPN okamžitě změnit svá hesla a totéž platí pro všechny ostatní účty, které sdílejí stejné heslo.
Časová osa expozice
Databáze byla vystavena celkem téměř tři týdny. Zde je to, co víme:
- 27. června 2020: Server hostující data byl poprvé indexován vyhledávačem Shodan.io
- 1. července 2020: Diachenko objevil odhalená data a okamžitě informoval UFO VPN
- 14. července 2020: Diachenko informoval poskytovatele hostingu
- 15. července 2020: Databáze byla zabezpečena.
- 20. července 2020: Databáze byla vystavena podruhé s daty až 19. července.
- 20. července 2020: Druhá vystavená datová sada byla napadena a téměř všechny záznamy byly zničeny útokem bota „Meow“. Zůstaly pouze nově přidané záznamy.
Nevíme, zda nějaké neoprávněné strany přistupovaly k datům, když byla vystavena. Náš vlastní výzkum to ukazuje hackeři mohou najít a napadnout databáze během několika hodin poté, co byli zranitelní .
Jaká data byla vystavena?
894 GB dat bylo uloženo v nezabezpečeném clusteru Elasticsearch. UFO VPN tvrdila, že data byla „anonymní“, ale na základě dostupných důkazů se domníváme, že uživatelské protokoly a záznamy o přístupu k API obsahovaly následující informace:
- Hesla účtů v prostém textu
- Tajné klíče a tokeny relace VPN
- IP adresy jak uživatelských zařízení, tak serverů VPN, ke kterým se připojili
- Časová razítka připojení
- Geo-tagy
- Vlastnosti zařízení a OS
- Adresy URL, které se zdají být doménami, ze kterých se do bezplatných webových prohlížečů uživatelů vkládají reklamy
Zdá se, že mnoho z těchto informací je v rozporu se zásadami ochrany osobních údajů UFO VPN, které uvádí:
„Nesledujeme aktivity uživatelů mimo náš web ani nesledujeme procházení webu nebo připojení uživatelů, kteří používají naše služby.“
Viz zásady ochrany osobních údajů UFO VPN tady .
Nebezpečí vystavených údajů
Pokud by se špatným hercům podařilo získat data před jejich zabezpečením, mohlo by to pro uživatele UFO VPN představovat několik rizik.
Hesla ve formátu prostého textu jsou nejjasnější a nejpřímější hrozbou. Hackeři je mohli použít nejen k únosu UFO VPN účtů, ale mohli by být také schopni provádět útoky na další účty. Pokud je stejné heslo použito na více účtech, mohou být všechny prolomeny.
IP adresy by mohly být použity k rozpoznání místa pobytu uživatelů a potvrzení jejich online aktivity. VPN se často používají ke skrytí skutečné polohy uživatelů a online aktivit.
Tajné klíče a tokeny relace lze použít k dešifrování dat relace, která mohl zachytit útočník. Pokud by například útočník zachytil šifrovaná data odesílaná přes VPN na kompromitované wi-fi síti, mohla by tato data pomocí těchto informací dešifrovat.
E-mailové adresy lze použít k cílení na uživatele pomocí přizpůsobených phishingových zpráv a podvodů.
Tato expozice demonstruje, proč běžně doporučujeme čtenářům, aby se vyhýbali bezplatným službám VPN, které mívají podprůměrné standardy zabezpečení a ochrany soukromí. V ideálním případě by služba VPN neměla uchovávat žádné protokoly včetně IP adres.
O UFO VPN
UFO VPN je poskytovatel VPN se sídlem v Hongkongu, který tvrdí, že na svém webu obsluhuje 20 milionů uživatelů. Tvrdí, že má politiku nulového protokolu a „ochranu bankovního stupně“, i když tomu tak pravděpodobně není.
Společnost nabízí bezplatné i placené plány.
Zaměřením marketingu UFO VPN je odblokování obsahu. Slibuje přístup k blokovaným webům, aplikacím a streamovacím službám uzamčeným v regionu, jako je Netflix.
Podívejte se na náš seznam:- Nejlepší VPN
- Nejlepší antivirus
- Nejlepší ochrana proti krádeži identity
Jak a proč jsme tuto expozici nahlásili
Bezpečnostní výzkumník Bob Diachenko vede bezpečnostní výzkumný tým Comparitech, aby našel a nahlásil incidenty, při kterých byly na webu odhaleny osobní údaje. Když narazíme na nezabezpečená data, okamžitě podnikneme kroky k upozornění vlastníka, aby mohla být co nejdříve zabezpečena.
Vyšetřujeme datové incidenty, jako jsou tyto, abychom zjistili, komu data patří, kdo může být ovlivněn, jaké informace jsou vystaveny a jaké následky mohou mít důsledky. Jakmile budou data zabezpečena, zveřejníme zprávu, jako je tato, abychom informovali uživatele, kterých by se to mohlo týkat, a zvýšili povědomí.
Naším cílem je omezit škodlivý přístup a zneužívání osobních údajů. Doufáme, že naše zpráva může zvýšit povědomí o kybernetické bezpečnosti a minimalizovat škody, které by mohly přijít koncovým uživatelům.
Předchozí zprávy o datových incidentech
Comparitech a Diachenko se spojily, aby informovaly o několika incidentech vystavení údajům, včetně:
- Francouzská občanská služba odhalila 1,4 milionu uživatelských záznamů
- Bylo porušeno 42 milionů íránských „Telegramových“ telefonních čísel a uživatelských ID
- Unikly podrobnosti o téměř 8 milionech britských online nákupů
- 250 milionů záznamů zákaznické podpory společnosti Microsoft bylo vystaveno online
- Na fóru hackerů bylo zveřejněno více než 260 milionů přihlašovacích údajů k Facebooku
- Unikly téměř 3 miliardy e-mailových adres, z nichž mnohé měly odpovídající hesla
- Podrobné informace o 188 milionech lidí byly uloženy v nezabezpečené databázi
- K12.com odhalil 7 milionů studentských záznamů
- MedicareSupplement.com zpřístupnil veřejnosti 5 milionů osobních záznamů
- Uniklo více než 2,5 milionu záznamů zákazníků CenturyLink
- Choice Hotels unikly rekordy 700 000 zákazníků