Z bazy danych wyciekły informacje na temat ponad 21 milionów użytkowników darmowych sieci VPN. Baza danych zawierająca dane uwierzytelniające użytkowników została niedawno wykryta przez CyberNews, a wyciek może potencjalnie stanowić poważne zagrożenie dla prywatności i bezpieczeństwa.

Wśród dostawców dotkniętych masowym wyciekiem danych znajdują się jedne z najpopularniejszych darmowych serwisów VPN na Androida – SuperVPN (ponad 10 000 000 pobrań w Google Play), GeckoVPN (ponad 10 000 000 pobrań) i ChatVPN (ponad 50 000 pobrań). Baza danych datowana na 24 lutego jest obecnie sprzedawana na szemranych forach za nieokreśloną cenę.

Przyczyną wycieku były prawdopodobnie zaniedbania dostawców w zakresie logowania informacji o użytkownikach i niepodejmowanie odpowiednich środków ostrożności, aby zapewnić tym informacjom odpowiednie bezpieczeństwo. VPN-y nie tylko przechowywały informacje o użytkownikach, ale również domyślne dane logowania do serwerów, co znacznie ułatwiało do nich dostęp.

Co się stało?

Nie jest to pierwszy raz, kiedy dostawcy bezpłatnych sieci VPN są odpowiedzialni za masowe wycieki danych.

SuperVPN ostatni raz ucierpiał z powodu poważnego wycieku danych w lipcu 2020 roku. Wygląda jednak na to, że dostawcy nie wyciągnęli wniosków i nie podjęli żadnych dodatkowych środków w celu zapewnienia bezpieczeństwa użytkowników.

Tym razem naruszenie danych jest zarówno bardziej obszerne, jak i zawiera znacznie więcej wrażliwych danych. Jak podaje anonimowy autor postu, wyciekła baza danych zawierająca takie informacje jak:

• Adresy e-mail
• Nazwy użytkowników
• Pełne imiona i nazwiska
• Kraj pochodzenia
• Losowo wygenerowane hasła
• Dane dotyczące płatności
• Status subskrypcji i data wygaśnięcia

Mimo, że wszystkie informacje, które wyciekły są wrażliwe, to największy powód do niepokoju stanowią hasła. Mogą one być powiązane z kontami Google Play, co naraża na niebezpieczeństwo dane finansowe użytkowników.

Wyciek zawiera dodatkowo informacje o:

• Identyfikatory i numery seryjne urządzeń użytkowników
• Numery IMSI urządzeń
• Modele telefonów i ich producentów.

Potencjalni hakerzy mogą wykorzystać te informacje do przeprowadzenia kolejnych złośliwych działań, takich jak przechwycenie danych z wykorzystaniem ataku man-in-the-middle, uzyskując tym samym szerszy dostęp do urządzeń użytkowników i ich informacji finansowych.

Mimo że nadal trwają dyskusje, czy wyciek jest prawdziwy, przykłady danych w poście wydają się być wiarygodne. Jeśli tak, to jest to ogromny cios dla reputacji tych darmowych dostawców VPN, jak również ogromne niebezpieczeństwo dla ponad 21 milionów ich użytkowników.

Co teraz?

SuperVPN, GeckoVPN i ChatVPN nie wydały jeszcze żadnego oświadczenia w odniesieniu do rzekomego wycieku. Jeśli jednak informacje się potwierdzą, będzie oznaczało to, że dostawcy VPN gromadzą znacznie więcej danych, niż podano w ich polityce prywatności.

Jeśli korzystałeś z jednej z tych (lub jakichkolwiek innych) darmowych aplikacji VPN, radzimy:

1. Sprawdź, czy nie doszło do wycieku Twoich danych osobowych;
2. Zmień swoje hasła internetowe, najlepiej za pomocą generatora haseł;
3. Odinstaluj darmowy VPN, którego używasz i zarejestruj się u usługodawcy, który zagwarantuje Ci bezpieczeństwo w Internecie.

Bezpieczeństwo i prywatność internetowa stają się z dnia na dzień poważnym wyzwaniem. Większość darmowych dostawców VPN nie gwarantuje należytego bezpieczeństwa.

Podejmij niezbędne środki ostrożności już dziś i zaoszczędź sobie kłopotów, aby jutro nie został kolejną ofiarą masowego wycieku danych.