VPN “Zero logs” expõe milhões de logs, incluindo senhas de usuários, dados de reivindicações são anônimos
O provedor de VPN baseado em Hong Kong, UFO VPN, expôs um banco de dados de logs de usuários e registros de acesso de API na web sem uma senha ou qualquer outra autenticação necessária para acessá-lo. As informações expostas incluem senhas em texto simples e informações que podem ser usadas para identificar usuários de VPN e rastrear suas atividades online.
Bob Diachenko, que lidera a equipe de pesquisa de segurança da Comparitech, descobriu a exposição, que afeta usuários gratuitos e pagos do UFO VPN. Ele alertou imediatamente a empresa ao descobrir os dados expostos em 1º de julho de 2020.
Atualização em 21 de julho de 2020:Depois que os dados expostos foram protegidos, eles ressurgiram pela segunda vez em 20 de julho em um endereço IP diferente. Este conjunto de dados, que acreditamos ter sido exposto pela segunda vez pela UFO VPN, era ainda maior e contém registros tão recentes quanto 19 de julho.
Não está claro quantos usuários foram afetados, mas nossas descobertas sugerem que potencialmente todos os usuários que se conectaram à UFO VPN no momento da exposição poderiam estar comprometidos. A UFO VPN afirma ter 20 milhões de usuários em seu site, e o banco de dados expôs mais de 20 milhões de logs por dia.
Mais de duas semanas depois de enviarmos uma divulgação à UFO VPN, a empresa desligou o banco de dados e respondeu por e-mail: “Devido a mudanças de pessoal causadas pela COVID-19, não encontramos bugs nas regras de firewall do servidor imediatamente, o que levará ao risco potencial de ser hackeado. E agora foi corrigido.”
“Não coletamos nenhuma informação para registro”, disse o porta-voz. “Neste servidor, todas as informações coletadas são anônimas e só podem ser utilizadas para analisar o desempenho e problemas da rede do usuário para melhorar a qualidade do serviço. Até agora, nenhuma informação foi vazada.” [sic]
Mas com base em alguns dados de amostra, não acreditamos que estes dados sejam anónimos. Estamos em contato com a UFO VPN para verificar nossas descobertas e atualizaremos este artigo de acordo.
Recomendamos que os usuários do UFO VPN alterem suas senhas imediatamente, e o mesmo vale para quaisquer outras contas que compartilhem a mesma senha.
Linha do tempo da exposição
O banco de dados ficou exposto por quase três semanas no total. Aqui está o que sabemos:
- 27 de junho de 2020: O servidor que hospeda os dados foi indexado pela primeira vez pelo mecanismo de pesquisa Shodan.io
- 1º de julho de 2020: Diachenko descobriu os dados expostos e notificou imediatamente a UFO VPN
- 14 de julho de 2020: Diachenko notificou o provedor de hospedagem
- 15 de julho de 2020: O banco de dados foi protegido.
- 20 de julho de 2020: O banco de dados foi exposto pela segunda vez com dados recentes até 19 de julho.
- 20 de julho de 2020: O segundo conjunto de dados exposto foi atacado e quase todos os registros destruídos por um ataque de bot “Meow”. Restaram apenas registros recém-adicionados.
Não sabemos se alguma pessoa não autorizada acessou os dados enquanto eles foram expostos. Nossa própria pesquisa mostra que hackers podem encontrar e atacar bancos de dados poucas horas depois de ficarem vulneráveis .
Quais dados foram expostos?
894 GB de dados foram armazenados em um cluster Elasticsearch inseguro. A UFO VPN alegou que os dados eram “anônimos”, mas com base nas evidências disponíveis, acreditamos que os registros do usuário e os registros de acesso à API incluíam as seguintes informações:
- Senhas de contas em texto simples
- Segredos e tokens da sessão VPN
- Endereços IP dos dispositivos do usuário e dos servidores VPN aos quais eles se conectaram
- Carimbos de data e hora de conexão
- Geo-tags
- Características do dispositivo e do sistema operacional
- URLs que parecem ser domínios a partir dos quais os anúncios são injetados nos navegadores dos usuários gratuitos
Muitas destas informações parecem contradizer a política de privacidade da UFO VPN, que afirma:
“Não rastreamos as atividades dos usuários fora do nosso Site, nem rastreamos a navegação no site ou as atividades de conexão dos usuários que usam nossos Serviços.”
Veja a política de privacidade da UFO VPN aqui .
Perigos de dados expostos
Se os malfeitores conseguissem obter os dados antes de serem protegidos, isso poderia representar vários riscos para os usuários do UFO VPN.
As senhas em texto simples são a ameaça mais clara e direta. Os hackers não só poderiam usá-los para sequestrar contas VPN de OVNIs, mas também poderiam realizar ataques de preenchimento de credenciais em outras contas. Se a mesma senha for usada em várias contas, todas elas poderão ser comprometidas.
Os endereços IP podem ser usados para discernir o paradeiro dos utilizadores e corroborar a sua atividade online. As VPNs são frequentemente usadas para ocultar a localização real e a atividade online dos usuários.
Os segredos e tokens da sessão podem ser usados para descriptografar os dados da sessão que um invasor possa ter capturado. Por exemplo, se um invasor interceptasse dados criptografados enviados através da VPN em uma rede wi-fi comprometida, ele poderia descriptografar esses dados com essas informações.
Endereços de e-mail podem ser usados para direcionar usuários com mensagens de phishing e golpes personalizados.
Esta exposição demonstra por que encorajamos rotineiramente os leitores a evitar serviços VPN gratuitos, que tendem a ter padrões de segurança e privacidade abaixo da média. Idealmente, um serviço VPN não deve manter registros, incluindo endereços IP.
Sobre VPN OVNI
UFO VPN é um provedor de VPN com sede em Hong Kong que afirma atender 20 milhões de usuários em seu site. Alega ter uma política de registo zero e “protecção de nível bancário”, embora esse não seja o caso.
A empresa oferece planos gratuitos e pagos.
O foco do marketing da UFO VPN é desbloquear conteúdo. Ele promete acesso a sites, aplicativos e serviços de streaming bloqueados por região, como o Netflix.
Veja nossa lista de:- Melhores VPNs
- Melhor antivírus
- Melhor proteção contra roubo de identidade
Como e por que relatamos essa exposição
O pesquisador de segurança Bob Diachenko lidera a equipe de pesquisa de segurança da Comparitech para encontrar e relatar incidentes em que dados pessoais foram expostos na web. Quando nos deparamos com dados não protegidos, tomamos medidas imediatas para notificar o proprietário para que possam ser protegidos o mais rápido possível.
Investigamos incidentes de dados como esses para saber a quem pertencem os dados, quem pode ser afetado, quais informações são expostas e quais consequências podem advir. Assim que os dados estiverem protegidos, publicamos um relatório como este para informar os usuários que podem ser afetados e aumentar a conscientização.
Nosso objetivo é coibir o acesso malicioso e o abuso de dados pessoais. Esperamos que o nosso relatório possa aumentar a sensibilização para a segurança cibernética e minimizar os danos que possam ocorrer aos utilizadores finais.
Relatórios de incidentes de dados anteriores
A Comparitech e a Diachenko se uniram para relatar vários incidentes de exposição de dados, incluindo:
- Serviço Cívico Francês expõe 1,4 milhão de registros de usuários
- 42 milhões de números de telefone e IDs de usuários do “Telegram” iraniano foram violados
- Detalhes de quase 8 milhões de compras online no Reino Unido vazaram
- 250 milhões de registros de suporte ao cliente da Microsoft foram expostos online
- Mais de 260 milhões de credenciais do Facebook foram postadas em um fórum de hackers
- Quase 3 bilhões de endereços de e-mail vazaram, muitos com senhas correspondentes
- Informações detalhadas sobre 188 milhões de pessoas foram mantidas em um banco de dados não seguro
- K12.com expôs 7 milhões de registros de alunos
- MedicareSupplement.com disponibilizou publicamente 5 milhões de registros pessoais
- Mais de 2,5 milhões de registros de clientes da CenturyLink vazaram
- Choice Hotels vaza registros de 700 mil clientes