//Dados de 21 milhões de usuários de VPN gratuitas expostos
VPN

Dados de 21 milhões de usuários de VPN gratuitas expostos

Dados de mais de 21 milhões de usuários de VPN móveis gratuitas foram roubados e expostos para venda online semana passada, oferecidos por um ladrão cibernético que supostamente roubou dados de usuários coletados pelos próprios aplicativos VPN. Os dados incluem endereços de e-mail, strings de senha geradas aleatoriamente, informações de pagamento e IDs de dispositivos pertencentes a usuários de três aplicativos VPN – SuperVPN, GeckoVPN e ChatVPN.

Os ataques, que não foram confirmados pelos desenvolvedores das VPN, representam as mais recentes ameaças de privacidade contra a indústria de VPN. Dois erros semelhantes foram revelados ao público desde 2019, incluindo um vazamento de dados massivo que expôs várias promessas vazias de aplicativos VPN de coletar “nenhum registro” das atividades de seus usuários. Nesse vazamento de dados, não apenas os provedores de VPN não cumpriram suas palavras, mas também coletaram dados adicionais, incluindo endereços de e-mail dos usuários, senhas de texto não criptografado, endereços IP, endereços residenciais, modelos de telefone e IDs de dispositivos.

Para o consumidor médio, então, as armadilhas da privacidade começam a pintar um retrato muito familiar: os usuários continuam se sentindo sozinhos ao gerenciar sua privacidade online, mesmo quando contam com ferramentas destinadas a melhorar essa privacidade.

O pesquisador de segurança cibernética Troy Hunt, que escreveu sobre o recente vazamento de dados no Twitter, chamou todo o problema de “uma bagunça e um lembrete oportuno de por que confiar em um provedor de VPN é tão crucial”.

Ele continuou: “Este nível de registro não é o que qualquer um espera ao usar um serviço projetado para * melhorar * a privacidade, sem mencionar o fato de que eles vazaram todos os dados.”

Tradução:

Troy Hunt: “Portanto, isso é uma bagunça e um lembrete oportuno de por que a confiança em um provedor de VPN é tão importante. Este nível de registro não é o que qualquer um espera ao usar um serviço projetado para * melhorar * a privacidade, sem mencionar o fato de que eles vazaram todos os dados.

Have I Been Pwned:Nova violação: os serviços VPN “gratuitos” SuperVPN e GeckoVPN tiveram 20 milhões de endereços de e-mail violados este mês. Os dados também incluem histórico de login, país de acesso e tipo de dispositivo, IMSI e número de série. 8% dos endereços já estavam em @haveibeenpwned . Leia mais: …

O vazamento de dados de SuperVPN, GeckoVPN e ChatVPN

No final de fevereiro, um usuário em um fórum popular de hackers alegou que havia roubado informações de contas e credenciais pertencentes aos usuários de três aplicativos VPNs separados disponíveis na Google Play Store para Android: SuperVPN, GeckoVPN e ChatVPN.

Os três aplicativos variam muito em popularidade. De acordo com a contagem do Google Play, ChatVPN ganhou mais de 50.000 instalações, GeckoVPN ganhou mais de 10 milhões de instalações e SuperVPN pesa como um dos aplicativos VPN gratuitos mais populares para Android hoje, com mais de 100 milhões de instalações em seu nome.

Apesar da popularidade do SuperVPN, ele também é um dos aplicativos VPN mais duramente revisados ​​para dispositivos Android. Em abril passado, um redator do Tom’s Guide encontrou vulnerabilidades críticas no aplicativo que o preocuparam tanto que o título da análise direcionou os usuários atuais a: “ Exclua-o agora ”. E apenas um mês depois, um revisor da TechRadarPro disse que a SuperVPN tinha uma “política de privacidade inútil” que foi remendada a partir de políticas de privacidade de outras empresas e que se contradizia diretamente.

Não mais de um ano depois, essa política de privacidade foi novamente lançada no centro das atenções com um vazamento de dados que questiona quais tipos de informação o aplicativo estava realmente coletando.

De acordo com o ladrão que furtou as informações de SuperVPN, GeckoVPN e ChatVPN, os dados para venda incluem endereços de e-mail, nomes de usuário, nomes completos, nomes de países, strings de senha geradas aleatoriamente, dados relacionados ao pagamento e o status “Premium” de um usuário e a data de expiração correspondente. Após a postagem no fórum, o meio de comunicação CyberNews também descobriu que os dados roubados incluíam números de série do dispositivo, tipo de telefone e informações do fabricante, IDs do dispositivo e números IMSI do dispositivo.

De acordo com a CyberNews, os dados foram obtidos de “bancos de dados disponíveis publicamente que foram deixados vulneráveis ​​pelos provedores de VPN devido aos desenvolvedores que deixaram as credenciais de banco de dados padrão em uso”.

Erros de VPN anteriores

A triste verdade sobre o recente vazamento de dados do aplicativo VPN é que esse tipo de acidente de dados não é novidade.

Em 2019, o popular provedor de VPN NordVPN confirmou ao TechCrunch que sofreu uma violação no ano anterior. De acordo com TechCrunch:

“NordVPN disse ao TechCrunch que um de seus centros de dados foi acessado em março de 2018. ‘Um dos centros de dados na Finlândia de onde alugamos nossos servidores foi acessado sem autorização’, disse a porta-voz da NordVPN, Laura Tyrell.

O invasor obteve acesso ao servidor – que estava ativo por cerca de um mês – explorando um sistema de gerenciamento remoto inseguro deixado pelo provedor do data center; NordVPN disse que não sabia que tal sistema existia. ”

Além da violação do NordVPN, em julho passado, sete provedores de VPN deixaram 1,2 terabytes de dados privados de usuários expostos online, de acordo com um relatório publicado pelos pesquisadores de segurança cibernética da vpnMentor. De acordo com o relatório, os dados expostos pertenciam a até 20 milhões de usuários. Os dados incluíam endereços de e-mail, senhas de texto não criptografado, endereços IP, endereços residenciais, modelos de telefone, IDs de dispositivos e registros de atividades na Internet.

Os sete provedores de VPN investigados por vpnMentor foram:

  • UFO VPN
  • VPN rápida
  • VPN grátis
  • Super VPN
  • VPN Flash
  • VPN segura
  • Rabbit VPN

Os pesquisadores da vpnMentor também explicaram que havia um bom motivo para acreditar que os sete aplicativos foram todos feitos pelo mesmo desenvolvedor. Ao analisar os aplicativos, vpnMentor descobriu que todos eles compartilhavam um servidor Elasticsearch comum, eram hospedados nos mesmos ativos, compartilhavam o mesmo destinatário de pagamento único – Dreamfii HK Limited – e que pelo menos três VPNs compartilhavam marcas e layouts semelhantes no seus sites.

Por fim, o relatório também destacou o fato de que todos os sete aplicativos alegaram não manter “nenhum registro” da atividade do usuário. Apesar disso, o vpnMentor disse que “encontrou várias instâncias de logs de atividade da Internet no servidor compartilhado [dos aplicativos]”.

O relatório continuou: “Vimos registros detalhados de atividades de cada VPN, expondo informações pessoais dos usuários e atividades de navegação ao usar VPNs e senhas de texto simples não criptografadas.”

Portanto, esses aplicativos não apenas falharam em viver de acordo com suas próprias palavras, mas também coletaram dados extras do usuário que a maioria dos usuários não esperava. Afinal, a maioria dos consumidores pode presumir com razão que a promessa de se abster de coletar alguns dados potencialmente confidenciais se estenderia a uma promessa de se abster de coletar outros tipos de dados.

Mas, de acordo com vpnMentor, não foi esse o caso, o que é uma clara quebra de confiança do usuário.

Vamos colocar de outra forma:

Imagine escolher um monitor de bebê de vídeo que prometia nunca carregar suas gravações de áudio para a nuvem, apenas para descobrir que não estava apenas enviando essas gravações para um servidor desprotegido, mas também tirando fotos do seu bebê e enviando-as junto, também.

Em qual VPN confiar?

A confiança que você deposita em seu provedor de VPN é fundamental.

Lembre-se de que uma VPN pode ajudar a impedir que seu tráfego seja visualizado por seu provedor de serviços de Internet, que pode ser uma grande empresa de telecomunicações, ou pode ser uma universidade ou escola. Uma VPN também pode ajudar a protegê-lo de solicitações governamentais de seus dados. Por exemplo, se você estiver fazendo um trabalho investigativo em outro país com um governo muito mais restritivo, uma VPN pode ajudar a ocultar sua atividade na Internet desse governo, caso haja interesse em você.

O importante a se notar aqui, porém, é que uma VPN está servindo apenas como um substituto para quem vê seus dados. Quando você usa uma VPN, não é o seu ISP ou um governo restritivo que vê sua atividade – é a própria VPN.

Então, como você encontra um provedor de VPN confiável que realmente protegerá sua atividade online? Aqui estão algumas diretrizes:

  • Leia avaliações confiáveis ​​de terceiros . Muitos dos problemas nos aplicativos acima foram identificados por bons revisores terceirizados. Ao escolher um provedor de VPN, conte com as palavras de alguns pontos de venda confiáveis, como Tom’s Guide, TechRadar e CNET.
  • Certifique-se de que um provedor de VPN tenha um contato de suporte ao cliente . Vários dos aplicativos VPN investigados pelo vpnMentor não tinham uma maneira clara de contatá-los. Se estiver usando um produto, você merece um suporte ao cliente confiável e de fácil acesso.
  • Verifique a política de privacidade da VPN . Como aprendemos acima, uma política de privacidade não é uma garantia de proteção real à privacidade, mas a abordagem de uma empresa a uma política de privacidade pode oferecer uma visão sobre o pensamento da empresa e o quanto ela se preocupa mais com suas promessas.
  • Seja cauteloso com VPNs gratuitas . VPNs gratuitas geralmente vêm com compensações significativas, incluindo anúncios irritantes e a coleta e venda sub-reptícia de seus dados.
  • Considere uma VPN feita por uma empresa em que você já confia . Mais empresas de privacidade online e cibersegurança estão oferecendo ferramentas VPN para complementar seu pacote de produtos atual. Se você já confia em qualquer uma dessas empresas – como Mozilla, Ghostery, ProtonMail ou, sim, Malwarebytes – então há um bom motivo para confiar em seus produtos VPN também.

É um mundo on-line complicado lá fora, mas com as informações certas e as pesquisas certas e futuras, você pode ficar seguro.

Artigo originalmente postado em Blog MalwareBytes, 3 de Março de 2021 por David Ruiz, e traduzido e adaptado por Taverna Nerd.

Sou aquele que o recebe feliz em minha taverna, esteja certo de que farei o melhor para que aqui a sua experiência seja única.