0
0
Informações atualizadas de identificação pessoal (PII) de mais de um milhão de usuários do serviço gratuito de VPN chinês, Quickfox, estão expostas em um servidor Elasticsearch mal configurado, não criptografado e disponível na internet superficial, sem senha.
Segundo a WizCase, que revelou o caso, dados como nome completo, endereço de IP original, número de telefone, lista de outros softwares instalados no dispositivo do usuário, senhas criptografadas com padrão MD5 e outros ainda estão expostos, mesmo após a descoberta da empresa.
“Não era necessário senha ou credenciais de acesso para ver essas informações e os dados não foram criptografados. Com base nos registros expostos […] A violação pode ter afetado pelo menos um milhão de usuários do Quickfox. Entramos em contato com a empresa, mas não recebemos resposta até o momento“, escrevem os pesquisadores da equipe de pesquisa em cibersegurança da WizCase.
Além das informações de identificação pessoal dos usuários, também foram encontrados dados internos da plataforma de VPN e embora as senhas estejam criptografadas pelo padrão MD5, os pesquisadores explicam que esse é um algoritmo arcaico e pouco seguro.
“Enquanto as senhas eram criptografadas, MD5 é uma técnica de hashing arcaica que deixa as senhas dos usuários vulneráveis às técnicas modernas de quebra de senhas“, escrevem.
Porque um serviço de VPN coleta esses dados?
Além da exposição de dados e da incapacidade da empresa de se comunicar com pesquisadores de segurança e resolver o problema, o motivo de um serviço de VPN coletar esses dados do usuário também não ficou claro.
“Não está claro porque a VPN estava coletando esses dados, já que é desnecessário para seu processo e não é uma prática padrão vista com outros serviços VPN. Não foi possível encontrar os termos de uso ou política de privacidade do Quickfox para confirmar se os usuários sabiam ou não das informações que o Quickfox está extraindo”, escrevem os pesquisadores.
Os pesquisadores explicam que com acesso a esses dados, cibercriminosos podem vender ou distribuir esses dados em fóruns cibercriminosos, além de realizar diversas campanhas cibercriminosas, como phishings, fraudes, golpes e até assumir o controle da conta da vítima.
Outro conselho deixado pelos pesquisadores é que serviços de VPN gratuitos normalmente conseguem dinheiro para manter sua operação de outras formas não tão transparentes e até suspeitas.
“Certifique-se de pesquisar um serviço VPN antes de usá-lo. Em geral, se uma VPN não está lucrando por meio de serviços de assinatura, a VPN está lucrando por outros meios, geralmente coletando seus dados. Se você optar por usar uma VPN gratuita, certifique-se de compreender e se sentir confortável com as informações que eles coletam. Além disso, compartilhe apenas as informações necessárias para operar o programa”, concluem os pesquisadores.
FONTE: THE HACK