七个“无日志”VPN提供商被控泄密-是的,你猜到了-1.2TB的用户登录到互联网

2020-07-18 22:36:51

也许是莱昂内尔·赫兹(Lionel Hutz)的老戏码:不登录VPN?我是说,不!登录VPN!';

在他们的服务器上发现了超过1TB的用户日志后,一串零登录VPN提供商需要做一些解释,这些日志没有受到保护,而且面向公共互联网。

我们被告知,这些数据至少在某些情况下包括明文密码、个人信息和访问过的网站列表,所有这些都是任何人偶然发现的。

本周,在比较技术公司的鲍勃·迪亚琴科在一个属于UFO VPN的不安全的Elasticsearch集群中发现了894 GB的记录后,这一切都被曝光了。

竖井中包含连接到UFO服务的网民的日志条目流:这些信息包括似乎是纯文本的账户密码、VPN会话秘密和令牌、用户设备的IP地址和他们连接的VPN服务器、连接时间戳、位置信息、设备特征和操作系统版本,以及广告从其注入到UFO自由层用户浏览器的web域。

UFO在其隐私政策中粗体声明:我们不跟踪网站以外的用户活动,也不跟踪使用我们服务的用户的网站浏览或连接活动。然而,它似乎至少记录了对其服务的连接-而且在一个任何人都可以访问的系统中,只要能找到它。

根据比较技术公司的数据,每天有超过2000万条条目被添加到日志中,而UFO恰好在其网站上吹嘘自己拥有2000万用户。Diachenko说,他在7月1日,也就是他发现不受保护的数据库的当天,向提供商发出了错误配置的警报,但没有得到任何回应。

几天后,也就是7月5日,诺姆·罗特姆(Noam Rotem)在VPNmentor的团队单独发现了这个数据竖井,很明显,安全错误远远超出了UFO的范畴。似乎有七家总部位于香港的VPN提供商-UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN和Rabbit VPN-都共享一个共同的实体,提供白标VPN服务。

据VPNmentor报道,他们都在将不安全的Elasticsearch集群的数据泄露到互联网上。报告称,总共有约1.2万亿的数据处于开放状态,总计1083,997,361个日志条目,其中许多都具有高度敏感的信息。

我们被告知,这个暴露的群集至少包含一些访问过的网站记录、连接日志、人名、订户的电子邮件和家庭地址、纯文本密码、比特币和Paypal支付信息、支持桌面的消息、设备规格和帐户信息。

Rotem的团队说,这些VPN中的每一个都声称他们的服务是无日志VPN,这意味着它们不会在各自的应用程序上记录任何用户活动。但是,我们在他们的共享服务器上发现了多个Internet活动日志实例。这是对个人身份信息的补充,这些信息包括电子邮件地址、明文密码、IP地址、家庭地址、电话型号、设备ID和其他技术细节。

使用免费VPN?为什么不跳过中间人,直接把你的数据发送给习主席呢?

多读。

VPNmentor在其中一个提供商处创建了一个帐户,并在日志中发现了该新帐户,特别是电子邮件地址、位置、IP地址、设备和我们连接到的服务器。";VPNmentor提醒相关提供商将群集从公众视野中删除,并通知HK-CERT,尽管似乎没有采取任何行动立即纠正此情况。

7月14日,我们被告知,Diachenko警告UFO VPN的主机提供商,数据库是不安全的,第二天,在该系统出现在搜索引擎Shodan.io大约18天后,它就从人们的视线中消失了。

例如,UFO VPN指责冠状病毒阻止其工作人员保护数据库的网络安全。该公司在一份声明中表示,由于新冠肺炎导致的人事变动,我们没有立即发现服务器防火墙规则中的漏洞,这将导致潜在的被黑客攻击的风险。";现在它已经修好了。";

UFO还声称,其日志仅用于流量性能监控,而且是匿名的,尽管一些日志条目似乎包含人们的IP地址、账户令牌和机密。因此,我们注意到,从没有日志到好的,有一些日志是这样的。(#34;No log&34;to";Ok,一些log,";我们注意到的是,从没有日志到好的日志)。

供应商还坚称,日志中没有明文账户密码,因此数据必须是其他东西,比如会话令牌,而且用户自己发送的一些反馈包含电子邮件地址,但是这个数字非常小,不到我们用户的百分之一。";

比较技术公司和VPNmentor公司不同意这一观点,后者表示,UFO的说法是不正确的。根据一些样本数据,我们不相信这些数据是匿名的,比较技术公司的保罗·比肖夫补充道。";我们建议UFO VPN用户立即更改其密码,共享相同密码的任何其他帐户也是如此。";

最后,值得一提的是,UFO的软件是由梦幻香港有限公司(Dreamfii HK Limited)开发的,该公司接受上述所有VPN供应商的销售交易,似乎最终控制了这些VPN品牌。记者无法联系到Dreamfii请其置评。

安全研究员肯尼斯·怀特(Kenneth White)告诉我们,错误的配置揭示了一些VPN提供商可能是多么不诚实,网民在选择他们将通过其传输互联网流量的组织时,应该增加一点怀疑,而不是落入营销炒作的圈子。

同时也是MongoDB安全负责人的怀特以个人身份告诉“每日邮报”,看到一项广受欢迎的商业VPN服务再次遭到入侵,这令人失望,但老实说,这并不令人惊讶。

在这种情况下,影响甚至更加广泛,因为有一种称为白标的常见行业做法,即较小的VPN提供商重新命名较大的服务,并利用其网络、基础设施和软件。在这种情况下,似乎至少有七家VPN提供商的客户数据被泄露,这与他们没有登录的营销声明完全相反。';";

他接着说,绝大多数经营这些服务的公司都使用明显虚假的营销,公司来源非常模糊,在某些情况下,实际上是由被判有罪的金融犯罪重罪犯经营的,所以他们当然会声称拥有强大的隐私和安全保护,而实际上他们两者都没有,他继续说。

少数几家接受过某种第三方审核的提供商充其量只能展示其技术某些部分的狭窄时间点快照。众所周知,VPN服务的搜索引擎广告活动位置靠前,通常能卖到七位数以上。普通消费者简直不堪一击,而这些公司则利用人们的恐惧心理。这是一种耻辱。

甚至在很多情况下也不是这样。正如@notdan&;其他人所证明的那样,一些最受欢迎的提供商甚至不能正确地实现拆分隧道和内部接口的双重归属。您连接后,突然之间您的整个家庭LAN都允许任何其他VPN用户进入。

-肯恩·怀特(@kennWhite)2020年7月17日。

该注册表建议,希望至少封装部分流量的精明读者可能希望使用Trail of Bits;Algo、Google的大纲或WireGuard推出自己的VPN,所有这些都是开源的。

或者使用VPN提供商,并在您的威胁模型中内置这样一个事实,即它可以看到您的ISP原本能够看到的所有内容。®。

The Register-独立于科技界的新闻和观点。情况发布的一部分