Dados de 21 milhões de usuários VPN gratuitos expostos

Dados de 21 milhões de usuários VPN gratuitos expostos. Os dados incluem endereços de e-mail, strings de senha geradas aleatoriamente, informações de pagamento e IDs de dispositivos pertencentes a usuários de três aplicativos VPN – SuperVPN, GeckoVPN e ChatVPN.

Credenciais detalhadas de mais de 21 milhões de usuários de aplicativos VPN móveis foram roubados e anunciados para venda online no início do deste mês de março, oferecidos por um ladrão cibernético que supostamente roubou dados de usuários coletados pelos próprios aplicativos VPN.

Os ataques, que não foram confirmados pelos desenvolvedores de VPN, representam as mais recentes ameaças de privacidade contra a indústria de VPN.

Dois erros semelhantes foram revelados ao público desde 2019, incluindo um vazamento massivo de dados que expôs várias promessas vazias de aplicativos VPN de coletar “nenhum registro” das atividades de seus usuários. Nesse vazamento de dados, não apenas os provedores de VPN não cumpriram suas palavras, mas também coletaram dados adicionais, incluindo endereços de e-mail dos usuários, senhas de texto não criptografado, endereços IP, endereços residenciais, modelos de telefone e IDs de dispositivos.

Para o consumidor médio, então, as armadilhas da privacidade começam a pintar um retrato muito familiar: os usuários continuam a se sentir sozinhos ao gerenciar sua privacidade online, mesmo quando contam com ferramentas destinadas a aumentar essa privacidade.

O pesquisador de segurança cibernética Troy Hunt, que escreveu sobre o recente vazamento de dados no Twitter, chamou todo o problema de “uma bagunça e um lembrete oportuno de por que confiar em um provedor de VPN é tão importante”. Ele continuou: “Este nível de registro não é o que qualquer um espera ao usar um serviço projetado para * melhorar * a privacidade, sem mencionar o fato de que eles vazaram todos os dados.”

O vazamento de dados de SuperVPN, GeckoVPN e ChatVPN

No final de fevereiro, um usuário em um fórum de hackers popular alegou que havia roubado informações de contas e credenciais pertencentes aos usuários de três aplicativos VPNs separados disponíveis na Google Play Store para Android: SuperVPN, GeckoVPN e ChatVPN.

Os três aplicativos variam muito em popularidade. De acordo com a contagem do Google Play, ChatVPN ganhou mais de 50.000 instalações, GeckoVPN ganhou mais de 10 milhões de instalações e SuperVPN pesa como um dos aplicativos VPN gratuitos mais populares para Android hoje, com mais de 100 milhões de instalações em seu nome.

Apesar da popularidade do SuperVPN, também é um dos aplicativos VPN mais duramente revisados ​​para dispositivos Android. Em abril passado, um redator do Tom’s Guide encontrou vulnerabilidades críticas no aplicativo que o preocuparam tanto que a manchete da crítica direcionou os usuários atuais a: “Exclir-los agora”. E apenas um mês depois, um revisor da TechRadarPro disse que a SuperVPN tinha uma “política de privacidade inútil” que foi remendada a partir das políticas de privacidade de outras empresas e que se contradizia diretamente.

Não mais de um ano depois, essa política de privacidade foi novamente lançada no centro das atenções com um vazamento de dados que coloca em questão quais tipos de informação o aplicativo estava realmente coletando.

De acordo com o ladrão que furtou as informações de SuperVPN, GeckoVPN e ChatVPN, os dados para venda incluem endereços de e-mail, nomes de usuário, nomes completos, nomes de países, strings de senha geradas aleatoriamente, dados relacionados ao pagamento e o status “Premium” de um usuário e a data de expiração correspondente. Após a postagem no fórum, o meio de comunicação CyberNews também descobriu que os dados roubados incluíam números de série do dispositivo, tipo de telefone e informações do fabricante, IDs do dispositivo e números IMSI do dispositivo.

De acordo com a CyberNews, os dados foram obtidos de “bancos de dados disponíveis publicamente que foram deixados vulneráveis ​​pelos provedores de VPN devido aos desenvolvedores que deixaram as credenciais de banco de dados padrão em uso”.

Erros de VPN anteriores

A triste verdade sobre o recente vazamento de dados do aplicativo VPN é que esse tipo de acidente de dados não é novidade.

Em 2019, o popular provedor de VPN NordVPN confirmou ao TechCrunch que sofreu uma violação no ano anterior. De acordo com TechCrunch:

NordVPN disse ao TechCrunch que um de seus data centers foi acessado em março de 2018.‘ Um dos data centers da Finlândia de onde alugamos nossos servidores foi acessado sem autorização’ “, disse a porta-voz da NordVPN, Laura Tyrell.

O invasor obteve acesso ao servidor – que estava ativo por cerca de um mês – explorando um sistema de gerenciamento remoto inseguro deixado pelo provedor do data center; NordVPN disse que não tinha conhecimento da existência de tal sistema. 

NordVPN informou a Malwarebytes que os dados de seus clientes não foram afetados e que o servidor violado não continha nenhum registro de atividade do usuário ou qualquer outra informação que pudesse ser vinculada a um determinado usuário.

Além da violação do NordVPN, em julho passado, sete provedores de VPN deixaram 1,2 terabytes de dados privados de usuários expostos online, de acordo com um relatório publicado pelos pesquisadores de segurança cibernética da vpnMentor. De acordo com o relatório, os dados expostos pertenciam a até 20 milhões de usuários. Os dados incluíam endereços de e-mail, senhas de texto não criptografado, endereços IP, endereços residenciais, modelos de telefone, IDs de dispositivos e registros de atividades na Internet.

Os sete provedores de VPN investigados por vpnMentor foram:

  • UFO VPN
  • Fast VPN
  • Free VPN
  • Super VPN
  • Flash VPN
  • Secure VPN
  • Rabbit VPN

Os pesquisadores da vpnMentor também explicaram que havia um bom motivo para acreditar que os sete aplicativos foram todos feitos pelo mesmo desenvolvedor. Ao analisar os aplicativos, vpnMentor descobriu que todos eles compartilhavam um servidor Elasticsearch comum, eram hospedados nos mesmos ativos, compartilhavam o mesmo destinatário de pagamento único – Dreamfii HK Limited – e que pelo menos três VPNs compartilhavam marcas e layouts semelhantes no seus sites.

Por fim, o relatório também destacou o fato de que todos os sete aplicativos alegaram manter “nenhum registro” da atividade do usuário. Apesar disso, vpnMentor disse que “encontrou várias instâncias de logs de atividade da Internet no servidor compartilhado [dos aplicativos].”

O relatório continuou: “Vimos registros detalhados de atividades de cada VPN, expondo informações pessoais dos usuários e atividades de navegação ao usar VPNs e senhas de texto simples não criptografadas.

Portanto, esses aplicativos não apenas falharam em seguir suas próprias palavras, mas também coletaram dados extras do usuário que a maioria dos usuários não esperava. Afinal, a maioria dos consumidores pode presumir com razão que a promessa de se abster de coletar alguns dados potencialmente confidenciais se estenderia a uma promessa de se abster de coletar outros tipos de dados.

Mas, de acordo com vpnMentor, esse não foi o caso, o que é uma clara violação da confiança do usuário.

Vamos colocar de outra forma:

Imagine escolher um monitor de bebê de vídeo que promete nunca enviar suas gravações de áudio para a nuvem, apenas para descobrir que não está apenas enviando essas gravações para um servidor desprotegido, mas também tirando fotos do seu bebê e enviando-as junto também.

Em qual VPN confiar?

A confiança que você deposita em seu provedor de VPN é fundamental.

Lembre-se de que uma VPN pode ajudar a impedir que seu tráfego seja visualizado por seu provedor de serviços de Internet, que pode ser uma grande empresa de telecomunicações, pode ser uma universidade, escola ou um hacker. Uma VPN também pode ajudar a protegê-lo de vigiais governamentais e limitações de acesso regionais. Por exemplo, se você estiver em um país que controla o aceso de internet, como  a China, a VON seria uma forma de se esquivar dos controles de tráfego e manter sua privacidade.

O importante a observar aqui, porém, é que uma VPN está servindo apenas como um substituto para quem vê seus dados. Quando você usa uma VPN, não é o seu ISP ou um governo restritivo que visualiza sua atividade – é a própria VPN.

Então, como você encontra um provedor de VPN confiável que realmente protegerá sua atividade online? Aqui estão algumas dicas dadas pela Malwarebytes:

  • Leia avaliações confiáveis ​​de terceiros. Muitos dos problemas nos aplicativos acima foram identificados por bons revisores terceirizados. Ao escolher um provedor de VPN, conte com as palavras de alguns pontos de venda confiáveis, como Tom’s Guide, TechRadar e CNET.
  • Certifique-se de que um provedor de VPN tenha um contato de suporte ao cliente. Vários dos aplicativos VPN investigados pelo vpnMentor não tinham uma maneira clara de contatá-los. Se estiver usando um produto, você merece um suporte ao cliente confiável e fácil de alcançar.
  • Verifique a política de privacidade da VPN. Como aprendemos acima, uma política de privacidade não é uma garantia de proteção de privacidade real, mas a abordagem de uma empresa a uma política de privacidade pode oferecer uma visão sobre o pensamento da empresa e o quanto ela se preocupa mais com suas promessas.
  • Seja cauteloso com VPNs gratuitas. VPNs gratuitas geralmente vêm com compensações significativas, incluindo anúncios irritantes e a coleta e venda clandestinas de seus dados.
  • Considere uma VPN feita por uma empresa em que você já confia. Mais empresas de privacidade online e segurança cibernética estão oferecendo ferramentas VPN para complementar seu pacote de produtos atual. Se você já confia em qualquer uma dessas empresas, como Mozilla, Ghostery, ProtonMail, Malwarebytes ou Sophos então há um bom motivo para confiar em seus produtos VPN também.

É um mundo online complicado lá fora, mas com as informações certas e a pesquisa certa e voltada para o futuro, você pode ficar seguro.

Fonte: Malwarebytes

Clique e fale com a MindSec para saber mais detalhes dos produtos Sophos

Veja também:

About mindsecblog 1403 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Governo Federal e TSE assinam acordo para oferecer identidade digital
  2. - Minuto da Segurança da Informação
  3. Um ano de trabalho remoto e as preocupações de cibersegurança
  4. Mais de US$ 4,2 bilhões perdidos para o crime cibernético em 2020

Deixe sua opinião!