Quem é o dono desse enorme banco de dados de detalhes de usuários VPN vazados?
Mais de 300 milhões de registros contendo informações pessoais de usuários de VPN foram expostos na web sem senha, relatam pesquisadores da Comparitech. 45 milhões de registros incluíam informações de contas de usuários, como endereços de e-mail, nomes completos e senhas criptografadas.
Com base em nossas descobertas, a ActMobile Networks Inc parece ser a proprietária dos dados. A empresa opera Dash VPN, FreeVPN.org e Dash Net Accelerated VPN, entre outros. No entanto, a ActMobile negou a propriedade dos dados, dizendo que “não mantém bancos de dados” em uma resposta por e-mail à Comparitech.
O chefe de pesquisa de segurança cibernética da Comparitech, Bob Diachenko, descobriu o banco de dados exposto em 8 de outubro de 2021 e imediatamente o relatou à ActMobile de acordo com nossa política de divulgação responsável. O banco de dados foi encerrado uma semana depois, em 15 de outubro.
Desde então, os dados vazaram em fóruns de hackers, aumentando o risco de ataque dos usuários.
Os dados expostos representam um sério risco para os usuários cujas informações pessoais foram expostas. Os dados podem ser usados para lançar ataques de phishing e, se as senhas forem comprometidas, para roubo de contas e preenchimento de credenciais. Os dados também poderiam ser usados para rastrear usuários VPN pelos endereços IP de seus dispositivos.
A Comparitech tomou medidas adicionais para verificar a legitimidade dos dados e confirmou que pelo menos um usuário do banco de dados tinha uma conta no Dash VPN.
Linha do tempo da exposição
Aqui está o que sabemos que aconteceu:
- 6 de outubro de 2021 – A base de dados foi indexada pelos motores de busca.
- 8 de outubro de 2021 – Diachenko descobriu os dados expostos e alertou imediatamente a ActMobile de acordo com nossa política de divulgação responsável. A empresa não respondeu a nenhuma de nossas tentativas de contato com o suporte da ActMobile, membros da equipe, registrantes de domínio e administradores de servidor. Após várias tentativas fracassadas de entrar em contato com a empresa em particular, Diachenko enviou um alerta no Twitter.
- 15 de outubro de 2021 – A base de dados foi encerrada.
- 1º de novembro de 2021 – Os dados vazaram em fóruns de hackers.
Os dados foram expostos por pelo menos uma semana no total e desde então foram enviados para fóruns de hackers. Nossos experimentos com honeypot mostram os invasores podem encontrar e roubar dados desprotegidos em questão de horas, para que os usuários possam presumir o pior.
Quais dados foram expostos?
O banco de dados MongoDB foi encontrado em um endereço IP baseado na França e continha mais de 100 GB de dados. Esses dados podem ser divididos em três categorias:
- 45 milhões de registros de usuários, incluindo…
- Endereço de email
- Senha criptografada
- Nome completo
- Nome de usuário
- Última data de logon
- 281 milhões de registros de informações de dispositivos de usuários, incluindo…
- endereço de IP
- Código do país
- Tipo de conexão (wi-fi ou celular)
- Dispositivo e ID do usuário
- ID do acelerador
- 6 milhões de registros de compras, incluindo…
- Produto adquirido
- Recibo
Além disso, mais de 4 milhões de “tokens APN” foram expostos. Não temos certeza do que são, mas podem ser usados para oApessoasPahNserviço de notificação, ou podem estar relacionados aAacessoPpomadaNnomes usados para conectar dispositivos móveis à Internet por meio de uma rede celular.
Nenhum cartão de crédito ou outras informações de pagamento foram incluídas.
Perigos de dados expostos
Embora as senhas tenham sido criptografadas e, portanto, não devam ser acessíveis, aconselhamos qualquer usuário preocupado a alterar imediatamente suas senhas. Quaisquer outras contas que compartilhem a mesma senha também devem ser alteradas para evitar preenchimento de credenciais . Ative a autenticação de dois fatores quando possível.
Independentemente de quem é realmente responsável pelos dados, os usuários devem estar atentos a mensagens de phishing direcionadas supostamente da ActMobile, de suas marcas ou de empresas relacionadas. Os golpistas podem se passar por uma dessas organizações para induzir os usuários a clicar em um link ou download malicioso. Nunca clique em links ou anexos não solicitados.
Por fim, recomendamos que os usuários de VPN que valorizam sua privacidade escolham uma VPN sem registros. Em particular, os endereços IP recolhidos pelas VPNs poderiam ser usados para corroborar a atividade online e rastreá-la até um utilizador individual. A Comparatech recomenda a verdade VPNs sem registro que não coletam seu endereço IP ou identificadores de dispositivo, entre outros dados.
De quem são esses dados?
A única resposta da ActMobile Networks às múltiplas tentativas de divulgação da Comparitech negou categoricamente a propriedade dos dados, dizendo: “Não mantemos bancos de dados, então tudo o que é referenciado é falso. Além disso, se você escrever sobre nós, tomaremos medidas.”
Mas se os dados não pertencem ao ActMobile, a quem pertencem? Nossas descobertas não apoiam a afirmação da ActMobile:
- O certificado SSL do servidor exposto pertencia ao domínio actmobile.com.
- Pelo menos um usuário cujo e-mail foi exposto confirmou que tinha uma conta no Dash VPN
- O repositório de banco de dados exposto contendo a maior parte das informações do usuário foi denominado “Dashnet”. Existem várias referências no banco de dados às marcas VPN da ActMobile, como em nomes de pacotes.
- O registro WHOIS do endereço IP onde os dados foram hospedados lista a ActMobile Networks como proprietária
Se a ActMobile está sendo honesta sobre não possuir os dados, então alguém deve ter se esforçado muito para fazer parecer que a ActMobile é a responsável.
Com sede nos EUA ActMobile A Networks opera ou marca seu serviço VPN para pelo menos quatro marcas de VPN: FreeVPN.org, Dash VPN, Dash Net Accelerated VPN e VPN Pro. Embora a conexão entre essas marcas não seja imediatamente clara, pistas no banco de dados, em seus sites e nas páginas da loja de aplicativos sugerem seu relacionamento:
- Dash VPN e Dashnet Accelerated VPN compartilham o mesmo endereço de e-mail de suporte.
- DashVPN , VPN acelerada Dashnet , e FreeVPN.org todos listam o mesmo endereço em Pleasanton, Califórnia, como sua sede.
- A página da loja de aplicativos da Amazon para Dash VPN lista o endereço de e-mail, a política de privacidade e o site do FreeVPN.org nas informações do desenvolvedor.
- O site da Dashnet Accelerated VPN, listado na loja Google Play, leva ao site da Dash VPN.
Tanto o FreeVPN.org quanto o Dash Net Accelerated VPN possuem políticas de privacidade que garantem que não coletam nenhum dado pessoal do usuário ao usar a VPN. Mas, como podemos ver acima, eles coletam claramente os endereços IP e identificadores de dispositivos dos usuários, de modo que essa afirmação não se sustentaria em uma análise da Comparitech VPN. Dash VPN não possui uma política de privacidade em seu site, mas é Página da loja de aplicativos Amazon aponta para a política de privacidade do FreeVPN.org.
No momento em que este artigo foi escrito, FreeVPN.org tinha uma classificação média de 4,3 estrelas e mais de 1 milhão de instalações no Google Play. Na Apple Store, está classificado em 31º lugar na categoria Utilitários, com uma classificação de 4,4 estrelas.
Dash VPN, também chamado de Dash Office e VPN Dash (a marca não é consistente), tem mais de 500.000 instalações e uma avaliação de 4,4 estrelas no Google Play. Tem uma classificação de 4,6 estrelas na loja da Apple.
Dash Net Accelerated VPN tem mais de 50.000 instalações no Google Play e uma classificação de 3,7 estrelas. Não parece estar na Apple App Store.
Por que relatamos este incidente
A equipe de pesquisa de segurança cibernética da Comparitech verifica rotineiramente a Internet em busca de bancos de dados inseguros que contenham informações de identificação pessoal. Quando descobrimos um, iniciamos imediatamente uma investigação para descobrir a quem pertence, quais informações estão armazenadas, quem pode ser afetado e possíveis danos aos usuários finais.
Após identificar e verificar o responsável pelos dados, enviamos um alerta de acordo com nossa política de divulgação responsável. Assim que os dados estiverem protegidos, publicamos um artigo como este para aumentar a conscientização sobre o incidente e reduzir os danos aos titulares dos dados.
Esta não é a primeira vez que a Comparitech descobre um banco de dados exposto de usuários VPN. Em julho de 2020, UFO VPN expôs milhões de arquivos de log sobre usuários de seu serviço, incluindo senhas de contas e endereços IP, apesar de afirmar que não mantém registros.
Relatórios de incidentes de dados anteriores
A Comparitech publicou vários relatórios de incidentes de dados semelhantes a este, incluindo:
- Informações pessoais de 106 milhões de visitantes internacionais da Tailândia expostas online
- Dados pessoais de 35 milhões de residentes dos EUA expostos na web
- Agência de vistos da Índia expõe 6.500 pedidos de visto de viajantes na web
- O serviço telefônico penitenciário Telmate expõe mensagens e informações pessoais de milhões de presidiários
- Corretor de dados de mídia social expõe quase 235 milhões de perfis copiados
- 42 milhões de números de telefone e IDs de usuários do “Telegram” iraniano foram violados
- Detalhes de quase 8 milhões de compras online no Reino Unido vazaram
- 250 milhões de registros de suporte ao cliente da Microsoft foram expostos online
- Mais de 260 milhões de credenciais do Facebook foram postadas em um fórum de hackers
- Quase 3 bilhões de endereços de e-mail vazaram, muitos com senhas correspondentes
- Informações detalhadas sobre 188 milhões de pessoas foram mantidas em um banco de dados não seguro