„Нула регистрационни файлове“ VPN разкрива милиони регистрационни файлове, включително потребителски пароли, данните за твърденията са анонимни

Базираният в Хонг Конг VPN доставчик UFO VPN разкри база данни с потребителски регистрационни файлове и записи за достъп до API в мрежата без парола или друго удостоверяване, необходимо за достъп до нея. Разкритата информация включва пароли с обикновен текст и информация, която може да се използва за идентифициране на VPN потребители и проследяване на тяхната онлайн активност.

Боб Диаченко, който ръководи екипа за изследване на сигурността на Comparitech, разкри излагането, което засяга както безплатните, така и платените потребители на UFO VPN. Той незабавно предупреди компанията, след като откри разкритите данни на 1 юли 2020 г.

Актуализация от 21 юли 2020 г.:След като разкритите данни бяха защитени, те се появиха отново на 20 юли на различен IP адрес. Този набор от данни, за който смятаме, че е бил разкрит за втори път от UFO VPN, беше още по-голям и съдържа записи от 19 юли.

Не е ясно колко потребители са засегнати, но нашите открития предполагат, че потенциално всички потребители, които са се свързали с UFO VPN по време на експозицията, могат да бъдат компрометирани. UFO VPN твърди, че има 20 милиона потребители на уебсайта си, а базата данни разкрива повече от 20 милиона лога на ден.

Повече от две седмици след като изпратихме съобщение за разкриване на UFO VPN, компанията затвори базата данни и отговори по имейл, „Поради промени в персонала, причинени от COVID-19, не открихме веднага грешки в правилата на защитната стена на сървъра, което ще доведе за потенциалния риск от хакване. И сега е поправено.“

„Не събираме никаква информация за регистрация“, каза говорителят. „В този сървър цялата събрана информация е анонимна и се използва само за анализиране на мрежовата производителност и проблеми на потребителя, за да се подобри качеството на услугата. Досега няма изтекла информация.” [sic]

Но въз основа на някои примерни данни, ние не вярваме, че тези данни са анонимни. Ние сме в контакт с UFO VPN, за да проверим нашите открития и ще актуализираме тази статия съответно.

Препоръчваме на потребителите на UFO VPN незабавно да сменят паролите си и същото важи за всички други акаунти, които споделят същата парола.

График на експозицията

Базата данни беше изложена общо почти три седмици. Ето какво знаем:

• 27 юни 2020 г.: Сървърът, хостващ данните, беше първо индексиран от търсачката Shodan.io
• 1 юли 2020 г.: Диаченко откри разкритите данни и незабавно уведоми UFO VPN
• 14 юли 2020 г.: Диаченко уведоми хостинг доставчика
• 15 юли 2020 г.: Базата данни беше защитена.
• 20 юли 2020 г.: Базата данни беше разкрита за втори път с данни от 19 юли.
• 20 юли 2020 г.: Вторият разкрит набор от данни беше атакуван и почти всички записи бяха унищожени от атака на бот „Мяу“. Останаха само новодобавени записи.

Не знаем дали неупълномощени страни са имали достъп до данните, докато са били изложени. Нашите собствени изследвания показват това хакерите могат да намерят и атакуват бази данни в рамките на часове след като станат уязвими .

Какви данни бяха разкрити?

894 GB данни бяха съхранени в незащитен клъстер Elasticsearch. UFO VPN твърди, че данните са „анонимни“, но въз основа на наличните доказателства смятаме, че потребителските регистрационни файлове и записите за достъп до API включват следната информация:

• Пароли за акаунти в обикновен текст
• Тайни и токени за VPN сесии
• IP адреси както на потребителските устройства, така и на VPN сървърите, към които са се свързали
• Времеви отпечатъци на връзката
• Гео тагове
• Характеристики на устройството и ОС
• URL адреси, които изглеждат като домейни, от които се инжектират реклами в безплатни уеб браузъри на потребители

Голяма част от тази информация изглежда противоречи на политиката за поверителност на UFO VPN, която гласи:

„Ние не проследяваме потребителските дейности извън нашия сайт, нито проследяваме сърфирането в уебсайта или дейностите по свързване на потребителите, които използват нашите услуги.“

Вижте политиката за поверителност на UFO VPN тук .

Опасности от разкрити данни

Ако лоши актьори успеят да се доберат до данните, преди да бъдат защитени, това може да създаде няколко риска за потребителите на UFO VPN.

Паролите в обикновен текст са най-ясната и директна заплаха. Хакерите могат не само да ги използват, за да отвлекат UFO VPN акаунти, но също така може да са в състояние да извършат атаки с пълнене на идентификационни данни на други акаунти. Ако една и съща парола се използва в няколко акаунта, всички те могат да бъдат компрометирани.

IP адресите могат да се използват, за да се установи местонахождението на потребителите и да се потвърди тяхната онлайн активност. VPN мрежите често се използват за скриване на реалните местоположения и онлайн активността на потребителите.

Тайните на сесията и токените могат да се използват за дешифриране на данни от сесията, които нападателят може да е уловил. Например, ако нападател прихване криптирани данни, изпращани през VPN в компрометирана wi-fi мрежа, той вероятно може да дешифрира тези данни с тази информация.

Имейл адресите могат да се използват за насочване към потребители с персонализирани фишинг съобщения и измами.

Това разкриване демонстрира защо ние редовно насърчаваме читателите да избягват безплатните VPN услуги, които обикновено имат по-ниски стандарти за сигурност и поверителност. В идеалния случай VPN услугата не трябва да поддържа регистрационни файлове, включително IP адреси.

Относно UFO VPN

UFO VPN е базиран в Хонг Конг VPN доставчик, който казва, че обслужва 20 милиона потребители на своя уебсайт. Той твърди, че има политика за нулев регистър и „защита от банков клас“, въпреки че това вероятно не е така.

Компанията предлага както безплатни, така и платени планове.

Фокусът на маркетинга на UFO VPN е деблокирането на съдържание. Той обещава достъп до блокирани уебсайтове, приложения и услуги за стрийминг, заключени в региона, като Netflix.

• Най-добрите VPN мрежи
• Най-добрата антивирусна
• Най-добрата защита срещу кражба на самоличност

Как и защо съобщихме за това излагане

Изследователят по сигурността Боб Диаченко оглавява екипа за изследване на сигурността на Comparitech, за да открие и докладва инциденти, при които лични данни са били разкрити в мрежата. Когато попаднем на незащитени данни, незабавно предприемаме стъпки, за да уведомим собственика, за да могат да бъдат защитени възможно най-скоро.

Ние разследваме инциденти с данни като тези, за да разберем на кого принадлежат данните, кой може да бъде засегнат, каква информация е изложена и какви последствия могат да възникнат в резултат. След като данните бъдат защитени, ние публикуваме доклад като този, за да информираме потребителите, които могат да бъдат засегнати, и да повишим осведомеността.

Нашата цел е да ограничим злонамерения достъп и злоупотребата с лични данни. Надяваме се, че нашият доклад може да повиши осведомеността относно киберсигурността и да сведе до минимум вредата, която може да нанесе на крайните потребители.

Предишни доклади за инциденти с данни

Comparitech и Diachenko се обединиха, за да докладват за няколко инцидента с излагане на данни, включително:

• Френската гражданска служба разкрива 1,4 милиона потребителски записи
• 42 милиона ирански телефонни номера и потребителски идентификатори на „Telegram“ бяха пробити
• Изтекоха подробности за близо 8 милиона онлайн покупки във Великобритания
• 250 милиона записа за поддръжка на клиенти на Microsoft бяха изложени онлайн
• Повече от 260 милиона идентификационни данни във Facebook бяха публикувани в хакерски форум
• Изтекоха почти 3 милиарда имейл адреса, много със съответните пароли
• Подробна информация за 188 милиона души се съхраняваше в незащитена база данни
• K12.com разкри 7 милиона студентски записи
• MedicareSupplement.com направи 5 милиона лични досиета публично достъпни
• Бяха изтекли над 2,5 милиона клиентски записи на CenturyLink
• От Choice Hotels изтичат данни за 700 000 клиенти