„Zero logów” VPN ujawnia miliony logów, w tym hasła użytkowników, dane dotyczące roszczeń są anonimowe

Dostawca VPN z siedzibą w Hongkongu, UFO VPN, ujawnił bazę danych zawierającą dzienniki użytkowników i zapisy dostępu do API w Internecie bez hasła ani żadnego innego uwierzytelnienia wymaganego do uzyskania dostępu. Ujawnione informacje obejmują hasła w postaci zwykłego tekstu oraz informacje, które można wykorzystać do identyfikacji użytkowników VPN i śledzenia ich aktywności online.

Bob Diachenko, który kieruje zespołem badawczym ds. bezpieczeństwa Comparitech, odkrył ryzyko, które dotyka zarówno bezpłatnych, jak i płatnych użytkowników UFO VPN. Natychmiast powiadomił firmę po odkryciu ujawnionych danych 1 lipca 2020 r.

Aktualizacja z 21 lipca 2020 r.:Po zabezpieczeniu ujawnionych danych, 20 lipca wypłynęły one ponownie na światło dzienne pod innym adresem IP. Ten zbiór danych, który naszym zdaniem został ujawniony po raz drugi przez UFO VPN, był jeszcze większy i zawiera dane sprzed 19 lipca.

Nie jest jasne, ilu użytkowników dotyczy problem, ale nasze ustalenia sugerują, że potencjalnie wszyscy użytkownicy, którzy połączyli się z UFO VPN w momencie narażenia, mogą być zagrożeni. UFO VPN twierdzi, że ma 20 milionów użytkowników na swojej stronie internetowej, a baza danych ujawnia ponad 20 milionów logów dziennie.

Ponad dwa tygodnie po wysłaniu zgłoszenia do UFO VPN firma zamknęła bazę danych i odpowiedziała e-mailem: „Ze względu na zmiany personalne spowodowane przez COVID-19 nie znaleźliśmy od razu błędów w regułach zapory serwera, co doprowadziłoby do na potencjalne ryzyko włamania. A teraz zostało to naprawione.”

„Nie zbieramy żadnych informacji potrzebnych do rejestracji” – powiedział rzecznik. „Na tym serwerze wszystkie zebrane informacje są anonimowe i służą wyłącznie do analizy wydajności sieci użytkownika i problemów w celu poprawy jakości usług. Na razie nie wyciekły żadne informacje.” [sic!]

Jednak na podstawie niektórych przykładowych danych nie uważamy, że te dane są anonimowe. Jesteśmy w kontakcie z UFO VPN, aby zweryfikować nasze ustalenia i odpowiednio zaktualizować ten artykuł.

Zalecamy użytkownikom UFO VPN natychmiastową zmianę haseł, to samo dotyczy wszystkich innych kont, które korzystają z tego samego hasła.

Kalendarium ekspozycji

Baza danych była ujawniana łącznie przez prawie trzy tygodnie. Oto co wiemy:

• 27 czerwca 2020: Serwer hostujący dane został po raz pierwszy zaindeksowany przez wyszukiwarkę Shodan.io
• 1 lipca 2020 r.: Diachenko odkrył ujawnione dane i natychmiast powiadomił UFO VPN
• 14 lipca 2020 r.: Diachenko powiadomił dostawcę usług hostingowych
• 15 lipca 2020: Baza danych została zabezpieczona.
• 20 lipca 2020 r.: Baza danych została ujawniona po raz drugi i zawierała dane sprzed 19 lipca.
• 20 lipca 2020 r.: Drugi ujawniony zbiór danych został zaatakowany i prawie wszystkie rekordy zostały zniszczone w wyniku ataku bota „Miau”. Pozostały jedynie nowo dodane rekordy.

Nie wiemy, czy do danych w momencie ich ujawnienia miały dostęp osoby nieupoważnione. Nasze własne badania to pokazują hakerzy mogą znaleźć i zaatakować bazy danych w ciągu kilku godzin od momentu, w którym zostaną narażeni .

Jakie dane zostały ujawnione?

W niezabezpieczonym klastrze Elasticsearch przechowywano 894 GB danych. UFO VPN twierdziło, że dane są „anonimowe”, ale na podstawie dostępnych dowodów uważamy, że dzienniki użytkowników i zapisy dostępu do API zawierały następujące informacje:

• Hasła do kont w postaci zwykłego tekstu
• Sekrety sesji VPN i tokeny
• Adresy IP obu urządzeń użytkowników i serwerów VPN, z którymi się łączyli
• Znaczniki czasu połączenia
• Geo-tagi
• Charakterystyka urządzenia i systemu operacyjnego
• Adresy URL wyglądające na domeny, z których reklamy są wstrzykiwane do bezpłatnych przeglądarek internetowych użytkowników

Wiele z tych informacji wydaje się zaprzeczać polityce prywatności UFO VPN, która stwierdza:

„Nie śledzimy działań użytkowników poza naszą Stroną, ani nie śledzimy przeglądania witryny ani aktywności połączeń użytkowników korzystających z naszych Usług”.

Zobacz politykę prywatności UFO VPN Tutaj .

Niebezpieczeństwa związane z ujawnionymi danymi

Jeśli złym aktorom uda się zdobyć dane, zanim zostaną one zabezpieczone, może to stanowić szereg zagrożeń dla użytkowników UFO VPN.

Hasła w postaci zwykłego tekstu stanowią najbardziej wyraźne i bezpośrednie zagrożenie. Hakerzy mogą nie tylko wykorzystać je do przejęcia kont UFO VPN, ale mogą również przeprowadzać ataki polegające na fałszowaniu danych uwierzytelniających na innych kontach. Jeśli to samo hasło jest używane na wielu kontach, wszystkie mogą zostać przejęte.

Adresy IP mogą być wykorzystywane do ustalania miejsca pobytu użytkowników i potwierdzania ich aktywności online. Sieci VPN są często używane do ukrywania prawdziwych lokalizacji użytkowników i aktywności online.

Sekrety sesji i tokeny mogą zostać wykorzystane do odszyfrowania danych sesji, które osoba atakująca mogła przechwycić. Na przykład, jeśli osoba atakująca przechwyci zaszyfrowane dane przesyłane przez VPN w zaatakowanej sieci Wi-Fi, może odszyfrować te dane za pomocą tych informacji.

Adresy e-mail mogą być wykorzystywane do kierowania do użytkowników dostosowanych wiadomości phishingowych i oszustw.

To ujawnienie pokazuje, dlaczego rutynowo zachęcamy czytelników do unikania bezpłatnych usług VPN, które zwykle mają kiepskie standardy bezpieczeństwa i prywatności. W idealnym przypadku usługa VPN nie powinna prowadzić żadnych dzienników, w tym adresów IP.

O UFO VPN

UFO VPN to dostawca VPN z siedzibą w Hongkongu, który twierdzi, że obsługuje 20 milionów użytkowników na swojej stronie internetowej. Twierdzi, że ma politykę zerowych logów i „ochronę na poziomie bankowym”, chociaż prawdopodobnie tak nie jest.

Firma oferuje plany bezpłatne i płatne.

Marketing UFO VPN koncentruje się na odblokowywaniu treści. Zapewnia dostęp do zablokowanych stron internetowych, aplikacji i usług przesyłania strumieniowego z blokadą regionalną, takich jak Netflix.

• Najlepsze VPN
• Najlepszy antywirus
• Najlepsza ochrona przed kradzieżą tożsamości

Jak i dlaczego zgłosiliśmy to narażenie

Badacz bezpieczeństwa Bob Diachenko stoi na czele zespołu badawczego ds. bezpieczeństwa Comparitech, którego zadaniem jest wyszukiwanie i zgłaszanie incydentów, w wyniku których dane osobowe zostały ujawnione w Internecie. Kiedy natrafiamy na niezabezpieczone dane, natychmiast podejmujemy kroki, aby powiadomić właściciela, aby mógł jak najszybciej je zabezpieczyć.

Badamy tego typu incydenty związane z danymi, aby dowiedzieć się, do kogo dane należą, na kogo może to mieć wpływ, jakie informacje są ujawniane i jakie mogą z tego wyniknąć konsekwencje. Po zabezpieczeniu danych publikujemy raport podobny do tego, aby poinformować użytkowników, których może to dotyczyć, i zwiększyć świadomość.

Naszym celem jest ograniczenie złośliwego dostępu i nadużycia danych osobowych. Mamy nadzieję, że nasz raport może podnieść świadomość w zakresie cyberbezpieczeństwa i zminimalizować szkody, jakie mogą ponieść użytkownicy końcowi.

Poprzednie raporty o zdarzeniach związanych z danymi

Comparitech i Diachenko połączyły siły, aby zgłosić kilka incydentów związanych z narażeniem danych, w tym:

• Francuska służba obywatelska udostępnia 1,4 miliona rekordów użytkowników
• Naruszono 42 miliony irańskich numerów telefonów i identyfikatorów użytkowników „Telegramu”.
• Wyciekły szczegóły prawie 8 milionów zakupów online w Wielkiej Brytanii
• W Internecie ujawniono 250 milionów zapisów dotyczących obsługi klienta Microsoft
• Na forum hakerów opublikowano ponad 260 milionów danych uwierzytelniających Facebooka
• Wyciekło prawie 3 miliardy adresów e-mail, wiele z nich zawierało odpowiadające im hasła
• Szczegółowe informacje na temat 188 milionów osób znajdowały się w niezabezpieczonej bazie danych
• K12.com ujawniło 7 milionów danych uczniów
• MedicareSupplement.com udostępniło publicznie 5 milionów danych osobowych
• Wyciekło ponad 2,5 miliona danych klientów CenturyLink
• Choice Hotels ujawnia dane dotyczące 700 000 klientów