Informações atualizadas de identificação pessoal (PII) de mais de um milhão de usuários do serviço gratuito de VPN chinês, Quickfox, estão expostas em um servidor Elasticsearch mal configurado, não criptografado e disponível na internet superficial, sem senha.
- Dados de toda população da Argentina são colocados a venda em fórum cibercriminoso
- Exclusivo: software expõe dados de quase 350 mil empresas e governos ao redor do mundo
- Incorporadora de ecommerces deixa mais de 1,75 bilhão de dados expostos
Segundo a WizCase, que revelou o caso, dados como nome completo, endereço de IP original, número de telefone, lista de outros softwares instalados no dispositivo do usuário, senhas criptografadas com padrão MD5 e outros ainda estão expostos, mesmo após a descoberta da empresa.
"Não era necessário senha ou credenciais de acesso para ver essas informações e os dados não foram criptografados. Com base nos registros expostos [...] A violação pode ter afetado pelo menos um milhão de usuários do Quickfox. Entramos em contato com a empresa, mas não recebemos resposta até o momento", escrevem os pesquisadores da equipe de pesquisa em cibersegurança da WizCase.
Além das informações de identificação pessoal dos usuários, também foram encontrados dados internos da plataforma de VPN e embora as senhas estejam criptografadas pelo padrão MD5, os pesquisadores explicam que esse é um algoritmo arcaico e pouco seguro.
"Enquanto as senhas eram criptografadas, MD5 é uma técnica de hashing arcaica que deixa as senhas dos usuários vulneráveis às técnicas modernas de quebra de senhas", escrevem.
游戏加速告别卡顿,上分王者,海外回国就用QuickFox加速器!
— QuickFox VPN (@QuickFoxVPN) October 12, 2020
当然不止这些:动漫 电视剧 爱豆综艺 最新大片 经典老剧
不仅解除地域限制 还能加速保证高清流畅度
还有更多视频会员年卡等你拿
心动不如行动,快来体验吧!
下载链接:https://t.co/qYcldyYhfM#回国VPN #海外回国 #翻墙 pic.twitter.com/t9f5qQwoL9
Porque um serviço de VPN coleta esses dados?
Além da exposição de dados e da incapacidade da empresa de se comunicar com pesquisadores de segurança e resolver o problema, o motivo de um serviço de VPN coletar esses dados do usuário também não ficou claro.
"Não está claro porque a VPN estava coletando esses dados, já que é desnecessário para seu processo e não é uma prática padrão vista com outros serviços VPN. Não foi possível encontrar os termos de uso ou política de privacidade do Quickfox para confirmar se os usuários sabiam ou não das informações que o Quickfox está extraindo", escrevem os pesquisadores.
Os pesquisadores explicam que com acesso a esses dados, cibercriminosos podem vender ou distribuir esses dados em fóruns cibercriminosos, além de realizar diversas campanhas cibercriminosas, como phishings, fraudes, golpes e até assumir o controle da conta da vítima.
Outro conselho deixado pelos pesquisadores é que serviços de VPN gratuitos normalmente conseguem dinheiro para manter sua operação de outras formas não tão transparentes e até suspeitas.
"Certifique-se de pesquisar um serviço VPN antes de usá-lo. Em geral, se uma VPN não está lucrando por meio de serviços de assinatura, a VPN está lucrando por outros meios, geralmente coletando seus dados. Se você optar por usar uma VPN gratuita, certifique-se de compreender e se sentir confortável com as informações que eles coletam. Além disso, compartilhe apenas as informações necessárias para operar o programa", concluem os pesquisadores.
Fonte: WizCase.