Super VPN случайно раскрыл более 360 млн записей, так как китайский разработчик оставил БД приложения незащищенной и доступной из интернета. База содержала информацию обо всех платных клиентах сервиса, включая email-адреса, реальные IP-адреса, информацию о геолокации и VPN-серверах, к которым подключались пользователи.
Утечку обнаружил ИБ-специалист Джеремайя Фаулер (Jeremiah Fowler). Он пишет, что это очень тревожная новость, так как у Super VPN насчитывается более 100 млн загрузок по всему миру в магазинах приложений Google и Apple.
При этом в описании приложения в App Store утверждается, что сервис не хранит никаких логов, хотя разрешения приложения позволяют ему получать доступ к файлам, изображениям и другой информации на устройстве.
Изучив ограниченную выборку записей, исследователь сообщил о проблеме на все доступные адреса электронной почты, связанные с приложениями Super VPN. В итоге базу данных обезопасили, но исследователь так и не получил ответов или комментариев от разработчиков.
Фаулер говорит, что суммарно утечка насчитывала 360 308 817 записей и «весила» 133 ГБ. Помимо уже перечисленных выше данных, записи в БД содержали секретные ключи, уникальные идентификаторы пользователей и номера UUID. Также в базе можно было найти:
- дополнительную информацию, включая модель телефона или устройства, операционную систему, тип подключения к интернету и версию приложения;
- запросы на возврат средств;
- и даже ссылки на сайты, которые посещали пользователи Super VPN, что позволяло проследить их действия и представляло прямую угрозу конфиденциальности.
Более того, письма в поддержку также были связаны с с такими сервисами, как Storm VPN, Luna VPN, Radar VPN, Rocket VPN и Ghost VPN (не путать с CyberGhost VPN). И в базе данных были обнаружены референсы на имена этих VPN-сервисов. Фаулер пишет, что он не уверен, принадлежат ли эти VPN одной и той же компании, но предполагает, что они каким-то образом связаны.
Также эксперт отметил, что еще в 2020 год ИБ-журналист Зак Доффман (Zak Doffman) предупреждал, что китайские разработчики неоднократно пытались, но не сумели устранить в приложении некую критическую уязвимость, которая подвергала пользователей риску man-in-the-middle атак. «Сейчас этот риск снижен. Однако всем тем, у кого на телефоне установлено приложение Super VPN, следует немедленно его удалить», — писал Доффман.