Исследователь кибербезопасности Джереми Фаулер сообщил проекту vpnMentor про обнаружение не защищенной паролем базы данных, содержащей более 360 миллионов записей общим размером в 133 Гб, связанных с утечкой данных VPN.
Общедоступные записи содержали адреса электронной почты, информацию об устройстве, исходные IP-адреса, данные геолокации и даже ссылки на сайты, которые посещал пользователь.
Кроме того, взлом выявил секретные ключи, уникальные идентификационные номера пользователей приложений и номера UUID, которые можно использовать для получения дополнительной важной информации.
Другая информация, найденная в базе данных, включала модели телефонов или устройств, операционные системы, типы подключения к интернету и версии приложений VPN. Кроме того, во взломанной базе также присутствовали запросы на возврат средств и данные платного аккаунта.
VpnMentor и Фаулер сообщают, что большинство записей связано с бесплатным сервисом SuperVPN, который утверждает, что не хранит журналы пользователей. По мнению vpnMentor, утечка данных свидетельствует об обратном и противоречит политике компании.
Данный сервис доступен как в магазинах приложений Apple, так и в Google. Исследователи отметили в списке два приложения с названием SuperVPN, каждое из которых принадлежит разным разработчикам. “Qingdao Leyou Hudong Network Technology Co.” была разработчиком SuperVPN для iOS, iPad и macOS, а “SuperSoft Tech” разработала второе приложение с таким же названием.
Однако важно отметить, что это не первый раз, когда SuperVPN обвиняют в утечке личных данных ничего не подозревающих пользователей. На самом деле, как сообщал Hackread.com в мае 2022 года, SuperVPN был в списке бесплатных VPN-сервисов, в которых были раскрыты данные о более чем 21 миллионе пользователей.
В отчете, опубликованном vpnMentor, Фаулер заметил, что электронные письма поддержки клиентов SuperVPN были связаны с StormVPN, Luna VPN, RocketVPN и GhostVPN (не путать с CyberGhost VPN). Кроме того, в базе данных были обнаружены ссылки на каждого из этих поставщиков VPN. Исследователи пока не могут подтвердить, что все они принадлежат одной и той же компании, но, по словам исследователей, они не удивятся, если окажется, что это так и есть.
Распространение ненадежных VPN-приложений можно объяснить стремлением разработчиков, ориентированных на получение прибыли, извлечь выгоду из растущего спроса на конфиденциальность и безопасность, заявляют исследователи. Индустрия VPN стала очень прибыльной: миллионы пользователей по всему миру ищут надежные решения для защиты своего присутствия в Интернете. В этих условиях некоторые разработчики отдают предпочтение денежной выгоде, а не безопасности пользователей, сосредотачиваясь на быстрой и недорогой разработке, маркетинге и распространении приложений VPN.
Таким образом, подчёркивают в vpnMentor, создание одной компанией сразу нескольких VPN-приложений с разными именами и немного отличающимся пользовательским интерфейсом вполне вероятно, поскольку это позволит ей расширить сеть пользователей, ищущих подходящего поставщика VPN.
Исследователи рекомендуют при выборе бесплатного VPN проявлять осторожность, учитывая определённые риски, к которым относятся:
Распространение VPN-приложений создает как возможности, так и проблемы для пользователей, стремящихся к конфиденциальности и безопасности в своей онлайн-активности. В то время как рынок предлагает широкий спектр надежных VPN-решений, растет и число сомнительных приложений, подчёркивают эксперты. Поэтому они призывают к осторожным и взвешенным решениям при выборе нужного вам сервиса.
В свою очередь, «Роскомсвобода» рекомендует воспользоваться маркетплейсом VPNLove.me, где собраны безопасные, проверенные экспертами платные VPN-сервисы с надёжной репутацией, которые бережно относятся к данным своих клиентов и заботятся об их конфиденциальности.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.