20 июля 2020, 20:41
Пост в блоге VPN Mentor начинается так: «Группа бесплатных VPN-сервисов оставила свои серверы полностью открытыми и незащищёнными, что позволило любому желающему получить персональные данные их пользователей».
«Это шокирует. Исследовательская команда во главе с Ноа Ротемом смогла получить информацию о более чем 20 млн человек. Налицо низкий уровень безопасности, который сейчас является стандартом в отрасли.
Все уязвимые сервисы, похоже, работают на ПО одного разработчика — используют единый сервер Elasticsearch, один хаб для получения платежей Dreamfii HK Limited.
Конкретно, речь идёт о следующих провайдерах: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN. Все они утверждали, что не хранят ни данные пользователей, но логи их посещений.
Это оказалось прямой ложью: среди ставшей публичной информации были адреса электронных почт, пароли, IP-адреса, домашние адреса, модели телефонов пользователей и другие технические детали.
Общий объем утечки — 1.2 ТБ данных. У многих приложений более 1 млн скачиваний в Google Play и AppStore, а пользовательский рейтинг — выше 4.5.
Раздражает не сам факт плохой защиты данных, а их сбор и хранение. Каждый из VPN-сервисов утверждал, что не осуществляет регистрации. Однако записи об активности велись в полном объёме.