Большинство провайдеров услуг VPN утверждают, что не следят за своими пользователями и не ведут никаких логов. К сожалению, это далеко не всегда является правдой. Так, недавно специалист компании Comparitech Боб Дьяченко (Bob Diachenko) обнаружил утечку пользовательских данных, собранных VPN-провайдером, который якобы не вел логов.
Все началось с того, что Дьяченко заметил в сети незащищенный кластер Elasticsearch, где хранились 894 Гб данных, принадлежащих провайдеру UFO VPN. Как оказалось, в логах старательно фиксировались: пароли от учетных записи (открытым тестом), секреты и токены VPN-сессий, IP-адреса пользовательских устройств и серверов VPN, к которым они подключались, временные метки подключений, информация о местоположении, данные о самих устройствах и версиях ОС, а также веб-домены, с которых в браузеры пользователей бесплатной версии UFO VPN осуществлялось внедрение рекламы.
При этом политика конфиденциальности UFO VPN гласит, что сервис не отслеживает действия пользователей за пределами сайта компании, и не собирает никаких данных.
По данным Comparitech, в логи UFO VPN ежедневно добавляется более 20 000 000 новых записей. Дьяченко пишет, что еще 1 июля 2020 года он предупредил провайдера об утечке данных, он так и не дождался ответа. Лишь спустя несколько недель база все же пропала из виду и перестала обнаруживаться Shodan, когда специалист связался с хостером UFO VPN.
Также данную утечку обнаружили и специалисты VPNmentor. Они сообщают, что проблема касается не только UFO VPN и его пользователей, но еще шести VPN-провайдеров из Гонконга: FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Судя по всему, все эти названия ведут к одной организации, которая предоставляет своеобразную white-label базу для VPN-сервисов. И, конечно, все эти провайдеры заявляют, что не ведут никаких логов.
Все перечисленные провайдеры работали с тем же незащищенным кластером Elasticsearch. В общей сложности исследователи обнаружили в открытом доступе около 1,2 ТБ данных: 1 083 997 361 логов, многие из которых содержат конфиденциальную информацию.
Так, в логах можно найти информацию о посещенных веб-сайтах, журналы подключений, имена людей, адреса электронной почты и домашние адреса пользователей, пароли открытым текстом, информацию о платежах в биткоинах и Paypal, сообщения в службу поддержки, спецификации пользовательских устройств, и информацию об учетных записях.
«Каждый из этих VPN-провайдеров утверждает, что их сервис не ведет логов, то есть не регистрирует какую-либо активность пользователей в соответствующих приложениях. Однако мы обнаружили ряд экземпляров логов интернет-активности на их общем сервере. И это в дополнение к личной информации, которая включала в себя адреса электронной почты, пароли в открытом виде, IP-адреса, домашние адреса, модели телефонов, идентификаторы устройств и другие технические детали», — пишут специалисты VPNmentor.
Исследователи VPNmentor даже создали учетную запись у одного из провайдеров, после чего нашли ее в логах, а также информацию об адресе электронной почты, местоположении, IP-адресе, устройстве и серверах, к которым они подключились.
Специалисты уведомили провайдеров о проблеме и необходимости удаления кластера из открытого доступа, и даже сообщили о ситуации HK-CERT, но никаких действий для немедленного исправления инцидента не последовало.
Лишь теперь, несколько недель спустя, представители UFO VPN выпустили официальное заявление и сообщили, что из-за пандемии коронавируса они не смогли должным образом защитить пользовательские данные и не заметили вовремя, что в конфигурации брандмауэра была допущена ошибка.
Также провайдер уверяет, что обнаруженные экспертами логи были анонимными и сохранялись исключительно с целью мониторинга пропускной способности, хотя некоторые записи могли содержать IP-адреса, а также токены и секреты учетных записей. Провайдер настаивает, что в логах не было паролей в формате открытого текста, и эксперты приняли за пароли что-то иное, к примеру, токены сеансов. Что касается email-адресов, представители UFO VPN объясняют, что иногда пользователи присылают отзывы, содержащие адреса электронной почты, однако таких насчитывается менее одного процента.
Эксперты Comparitech и VPNmentor в корне несогласны с позицией провайдера и пишут, что обнаруженные данные точно не были анонимными. Они рекомендуют всем пользователям поменять пароли.