Следующая новость
Предыдущая новость

1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи

20.07.2020 21:52
1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи

Рекомендуем почитать:

Xakep #254. Android: атака и защита

  • Содержание выпуска
  • Подписка на «Хакер»

Большинство провайдеров услуг VPN утверждают, что не следят за своими пользователями и не ведут никаких логов. К сожалению, это далеко не всегда является правдой. Так, недавно специалист компании Comparitech Боб Дьяченко (Bob Diachenko) обнаружил утечку пользовательских данных, собранных VPN-провайдером, который якобы не вел логов.

Все началось с того, что Дьяченко заметил в сети незащищенный кластер Elasticsearch, где хранились 894 Гб данных, принадлежащих провайдеру UFO VPN. Как оказалось, в логах старательно фиксировались: пароли от учетных записи (открытым тестом), секреты и токены VPN-сессий, IP-адреса пользовательских устройств и серверов VPN, к которым они подключались, временные метки подключений, информация о местоположении, данные о самих устройствах и версиях ОС, а также веб-домены, с которых в браузеры пользователей бесплатной версии UFO VPN осуществлялось внедрение рекламы.

1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи

При этом политика конфиденциальности UFO VPN гласит, что сервис не отслеживает действия пользователей за пределами сайта­ компании, и не собирает никаких данных.

По данным Comparitech, в логи UFO VPN ежедневно добавляется более 20 000 000 новых записей. Дьяченко пишет, что еще 1 июля 2020 года он предупредил провайдера об утечке данных, он так и не дождался ответа. Лишь спустя несколько недель база все же пропала из виду и перестала обнаруживаться Shodan, когда специалист связался с хостером UFO VPN.

Также данную утечку обнаружили и специалисты VPNmentor. Они сообщают, что проблема касается не только UFO VPN и его пользователей, но еще шести VPN-провайдеров из Гонконга: FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Судя по всему, все эти названия ведут к одной организации, которая предоставляет своеобразную white-label базу для VPN-сервисов. И, конечно, все эти провайдеры заявляют, что не ведут никаких логов.

1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи
1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи
1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи

Все перечисленные провайдеры работали с тем же незащищенным кластером Elasticsearch. В общей сложности исследователи обнаружили в открытом доступе около 1,2 ТБ данных: 1 083 997 361 логов, многие из которых содержат конфиденциальную информацию.

Так, в логах можно найти информацию о посещенных веб-сайтах, журналы подключений, имена людей, адреса электронной почты и домашние адреса пользователей, пароли открытым текстом, информацию о платежах в биткоинах и Paypal, сообщения в службу поддержки, спецификации пользовательских устройств, и информацию об учетных записях.

1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи
Paypal-платеж пользователя из США

«Каждый из этих VPN-провайдеров утверждает, что их сервис не ведет логов, то есть не регистрирует какую-либо активность пользователей в соответствующих приложениях. Однако мы обнаружили ряд экземпляров логов интернет-активности на их общем сервере. И это в дополнение к личной информации, которая включала в себя адреса электронной почты, пароли в открытом виде, IP-адреса, домашние адреса, модели телефонов, идентификаторы устройств и другие технические детали», — пишут специалисты VPNmentor.

Исследователи VPNmentor даже создали учетную запись у одного из провайдеров, после чего нашли ее в логах, а также информацию об адресе электронной почты, местоположении, IP-адресе, устройстве и серверах, к которым они подключились.

1,2 Тб логов утекли у VPN-провайдеров, не хранивших логи
Регистрация нового пользователя

Специалисты уведомили провайдеров о проблеме и необходимости удаления кластера из открытого доступа, и даже сообщили о ситуации HK-CERT, но никаких действий для немедленного исправления инцидента не последовало.

Лишь теперь, несколько недель спустя, представители UFO VPN выпустили официальное заявление и сообщили, что из-за пандемии коронавируса они не смогли должным образом защитить пользовательские данные и не заметили вовремя, что в конфигурации брандмауэра была допущена ошибка.

Также провайдер уверяет, что обнаруженные экспертами логи были анонимными и сохранялись исключительно с целью мониторинга пропускной способности, хотя некоторые записи могли содержать IP-адреса, а также токены и секреты учетных записей. Провайдер настаивает, что в логах не было паролей в формате открытого текста, и эксперты приняли за пароли что-то иное, к примеру, токены сеансов. Что касается email-адресов, представители UFO VPN объясняют, что иногда пользователи присылают отзывы, содержащие адреса электронной почты, однако таких насчитывается менее одного процента.

Эксперты Comparitech и VPNmentor в корне несогласны с позицией провайдера и пишут, что обнаруженные данные точно не были анонимными. Они рекомендуют всем пользователям поменять пароли.

Источник

Последние новости