O pesquisador de segurança cibernética Jeremiah Fowler descobriu e relatou à vpnMentor o vazamento de um banco de dados não protegido por senha contendo mais de 360 milhões de registros relacionados à violação de VPN gratuita. Os registros expostos continham endereços de e-mail, informações do dispositivo e até referências a sites visitados pelo usuário.
Quase todos os registros no banco de dados referem-se ao SuperVPN, um aplicativo que anuncia um serviço VPN gratuito para download. Existem dois aplicativos chamados SuperVPN disponíveis oficialmente nas lojas de aplicativos da Apple e do Google. De acordo com a página da Google Play Store, eles somam 100 milhões de downloads em todo o mundo.
Depois de revisar uma amostra limitada de registros, Fowler comunicou sobre a exposição a todos os endereços de e-mail disponíveis associados a ambos os aplicativos. O banco de dados foi posteriormente fechado, mas o pesquisador diz que nunca recebeu nenhuma resposta.
O incidente serve como um alerta para qualquer pessoa que usa uma VPN entender por que a escolha de um serviço confiável é importante para sua privacidade. Fowler diz ter observado muitos pedidos de reembolso e detalhes de contas pagas nos registros, o que o levou a presumir que o Super VPN estava vazando e oferecendo assinatura paga após um teste gratuito. Notavelmente, os dois aplicativos chamados SuperVPN estão listados em desenvolvedores separados no Google Play e na Apple Store. SuperVPN para iOS, iPad e macOS são creditados a desenvolvedora Qingdao Leyou Hudong Network Technology Co., enquanto o segundo aplicativo é desenvolvido pela SuperSoft Tech. Também foram encontradas referências a uma empresa chamada Changsha Leyou Baichuan Network Technology Co. no banco de dados e menções a Qingdao Leyou Hudong Network Technology Co.
O que o vazamento expôs 360 milhões de registros com um tamanho de 133 GB. Os registros continham informações confidenciais, incluindo endereços de e-mail de usuários, endereços IP originais, geolocalização e registros de servidores usados. Além disso, também continham o que pareciam ser chaves secretas, números de identificação de usuário de aplicativo exclusivo e números UUID (um identificador exclusivo universal é uma sequência alfanumérica de 36 caracteres que pode ser usada para identificar informações adicionais). Informações adicionais nos registros incluíam modelo de telefone ou dispositivo, sistema operacional, tipo de conexão com a Internet e versão do aplicativo VPN.
Havia também solicitações de reembolso de usuários que compraram o produto ou foram cobrados. Links para sites visitados pelos usuários do aplicativo podem identificar suas atividades e ser uma ameaça à privacidade dos usuários que esperam um grau razoável de segurança.
Ainda segundo Fowler, os mesmos e-mails de suporte ao cliente do Super VPN também foram vinculados ao Storm VPN, Luna VPN, Radar VPN, Rocket VPN e Ghost VPN — não confundir com o CyberGhost VPN. Além disso, referências a esses nomes de provedores de VPN foram encontradas no banco de dados. Ele diz que não é possível determinar, no entanto, se essas VPNs são de propriedade da mesma empresa, mas diz que elas estão de alguma forma relacionadas.
De acordo com a página de suporte ao cliente do aplicativo, desenvolvido pela Qingdao Leyou Hudong Network Technology Co., o SuperVPN não mantém registros que permitam interferência com seu endereço IP, o momento ou o conteúdo do seu tráfego de dados. “Fazemos referência expressa ao facto de não registarmos em logs conteúdos de comunicação ou dados relativos aos websites acedidos ou aos endereços IP”, diz a empresa. “No entanto, esta exposição de dados parece contradizer esta garantia de privacidade. Deve-se observar que as permissões do aplicativo permitem que a VPN acesse os arquivos, imagens e outras informações do dispositivo do dispositivo”, alerta Fowler.
Veja isso
Estudo com 10 milhões de servidores VPN exibe falhas graves
VPN Pulse Secure tem 4.460 hosts vulneráveis expostos
O pesquisador salienta que, embora as VPNs sejam projetadas para oferecer aos usuários um maior grau de privacidade e segurança ao usar a web, elas não são imunes a vulnerabilidades de segurança e podem estar sujeitas a violações. Uma VPN cria um túnel seguro e criptografado entre seu dispositivo e o servidor VPN, o que ajuda a proteger suas atividades online de olhares indiscretos. No entanto, se o provedor VPN emprega métodos de criptografia fracos, possui falhas de segurança ou não possui medidas de segurança adequadas, ele pode expor informações confidenciais dos usuários e levar a uma violação de dados.
Além disso, se o provedor de VPN coletar e armazenar logs do usuário, ele poderá comprometer a privacidade do usuário se esses logs vazarem ou forem configurados incorretamente para acesso público. “Nesse caso, podemos ver claramente como uma violação de dados de VPN pode potencialmente revelar dados confidenciais do usuário, incluindo credenciais de login, endereços de e-mail, histórico de navegação, endereços IP e outras informações sobre o usuário ou serviço. Isso pode sujeitar os usuários afetados a uma ampla gama de possíveis problemas, como uso não autorizado de suas credenciais, spam ou tentativas de phishing”, diz Fowler. “Além disso, o endereço IP pode ser usado para identificar a localização geográfica aproximada de um usuário e também pode fornecer informações sobre o provedor de serviços de Internet (ISP) do usuário e o tipo de dispositivo que ele está usando. Um criminoso cibernético pode usar essas informações para lançar um ataque de negação de serviço (DoS)”, completa ele.
Saiba mais sobre as descobertas de Fowler em: https://www.vpnmentor.com/news/report-super-vpn-breach/