0
0
Credenciais detalhadas para mais de 21 milhões de usuários de aplicativos VPN móveis foram roubadas e anunciadas para venda on-line na semana passada, oferecidas por um ladrão cibernético que supostamente roubou dados de usuários coletados pelos próprios aplicativos VPN. Os dados incluem endereços de e-mail, strings de senha geradas aleatoriamente, informações de pagamento e IDs de dispositivos pertencentes a usuários de três aplicativos VPN—SuperVPN, GeckoVPN e ChatVPN.
Os ataques, que não foram confirmados pelos desenvolvedores de VPN, representam as mais recentes vantagens de privacidade contra o setor de VPN. Dois erros semelhantes foram revelados ao público desde 2019, incluindo um vazamento maciço de dados que expôs as promessas vazias de vários aplicativos VPN de coletar “sem registros” da atividade de seus usuários. Nesse vazamento de dados, os provedores de VPN não apenas não cumpriram suas palavras, mas também aspiraram dados adicionais, incluindo endereços de e-mail dos usuários, senhas de texto claras, endereços IP, endereços residenciais, modelos de telefone e IDs de dispositivos.
Para o consumidor médio, então, as armadilhas da privacidade começam a pintar um retrato muito familiar: os usuários continuam a se sentir sozinhos ao gerenciar sua privacidade on-line, mesmo quando dependem de ferramentas destinadas a melhorar essa privacidade.
O pesquisador de segurança cibernética Troy Hunt, que escreveu sobre o recente vazamento de dados no Twitter, chamou toda a questão de “uma bagunça e um lembrete oportuno de por que a confiança em um provedor de VPN é tão crucial”.
Ele continuou: “Esse nível de registro não é o que alguém espera ao usar um serviço projetado para *melhorar* a privacidade, sem mencionar o fato de que eles vazaram todos os dados.”https://platform.twitter.com/embed/Tweet.html?creatorScreenName=davidalruiz&dnt=true&embedId=twitter-widget-0&frame=false&hideCard=false&hideThread=false&id=1366160363062878213&lang=en&origin=https%3A%2F%2Fblog.malwarebytes.com%2Fcybercrime%2Fprivacy%2F2021%2F03%2F21-million-free-vpn-users-data-exposed%2F&siteScreenName=malwarebytes&theme=light&widgetsVersion=e1ffbdb%3A1614796141937&width=550px
O vazamento de dados da SuperVPN, GeckoVPN e ChatVPN
No final de fevereiro, um usuário em um fórum popular de hackers afirmou que havia roubado informações e credenciais da conta pertencentes aos usuários de três aplicativos VPNs separados disponíveis na Google Play Store para Android: SuperVPN, GeckoVPN e ChatVPN.
Os três aplicativos variam muito em popularidade. De acordo com a contagem do Google Play, o ChatVPN ganhou mais de 50.000 instalações, o GeckoVPN ganhou mais de 10 milhões de instalações e o SuperVPN pesa como um dos aplicativos VPN gratuitos mais populares para Android hoje, com mais de 100 milhões de instalações em seu nome.
Apesar da popularidade da SuperVPN, também é um dos aplicativos VPN mais duramente revisados para dispositivos Android. Em abril passado, um escritor do Tom’s Guide encontrou vulnerabilidades críticas no aplicativo que o preocupavam tanto que o título da revisão direcionava os usuários atuais para: “Exclua agora”. E apenas um mês depois, um revisor da TechRadarPro disse que a SuperVPN tinha uma “política de privacidade inútil” que foi reunida das políticas de privacidade de outras empresas e que se contradizia diretamente.
Não mais do que um ano depois, essa política de privacidade foi novamente colocada no centro das atenções com um vazamento de dados que questiona exatamente quais tipos de informações o aplicativo estava realmente coletando.
De acordo com o ladrão que roubou as informações da SuperVPN, GeckoVPN e ChatVPN, os dados à venda incluem endereços de e-mail, nomes de usuário, nomes completos, nomes de países, strings de senha geradas aleatoriamente, dados relacionados ao pagamento e o status “Premium” de um usuário e a data de expiração correspondente. Após o post do fórum, o meio de comunicação técnico CyberNews também descobriu que os dados roubados incluíam números de série do dispositivo, tipo de telefone e informações do fabricante, IDs do dispositivo e números IMSI do dispositivo.
De acordo com a CyberNews, os dados foram retirados de “bancos de dados disponíveis publicamente que foram deixados vulneráveis pelos provedores de VPN devido aos desenvolvedores deixarem credenciais de banco de dados padrão em uso”.
Erros de VPN anteriores
A infeliz verdade sobre o recente vazamento de dados do aplicativo VPN é que esse tipo de acidente de dados não é novidade.
Em 2019, o popular provedor de VPN NordVPN confirmou ao TechCrunch que sofreu uma violação no ano anterior. De acordo com o TechCrunch:
“A NordVPN disse ao TechCrunch que um de seus data centers foi acessado em março de 2018. “Um dos data centers na Finlândia dos quais estamos alugando nossos servidores foi acessado sem autorização”, disse a porta-voz da NordVPN, Laura Tyrell.
O invasor obteve acesso ao servidor—que estava ativo há cerca de um mês—explorando um sistema de gerenciamento remoto inseguro deixado pelo provedor do data center; a NordVPN disse que não sabia que tal sistema existisse.”
A NordVPN informou à Malwarebytes que os dados de seus clientes não foram afetados e que o servidor violado não continha nenhum registro de atividade do usuário ou qualquer outra informação que pudesse ser vinculada a um usuário específico.
Além da violação da NordVPN, em julho passado, descobriu-se que sete provedores de VPN deixaram 1,2 terabytes de dados privados de usuários expostos on-line, de acordo com um relatório publicado pelos pesquisadores de segurança cibernética da vpnMentor. De acordo com o relatório, os dados expostos pertenciam a até 20 milhões de usuários. Os dados incluíam endereços de e-mail, senhas de texto claras, endereços IP, endereços residenciais, modelos de telefone, IDs de dispositivos e registros de atividades na Internet.
Os sete provedores de VPN investigados pelo vpnMentor foram:
- VPN UFO
- VPN rápida
- VPN grátis
- Super VPN
- VPN Flash
- VPN Segura
- VPN Rabbit
Os pesquisadores da vpnMentor também explicaram que havia boas razões para acreditar que os sete aplicativos foram todos feitos pelo mesmo desenvolvedor. Ao analisar os aplicativos, o vpnMentor descobriu que todos eles compartilhavam um servidor Elasticsearch comum, estavam hospedados nos mesmos ativos, compartilhavam o mesmo destinatário de pagamento único—Dreamfii HK Limited—e que pelo menos três das VPNs compartilhavam marcas e layouts semelhantes em seus sites.
Finalmente, o relatório também destacou o fato de que todos os sete aplicativos alegaram manter “nenhum registro” da atividade do usuário. Apesar disso, o vpnMentor disse que “encontrou várias instâncias de registros de atividade na Internet no servidor compartilhado [dos aplicativos].
O relatório continuou: “Visamos registros detalhados de atividades de cada VPN, expondo as informações pessoais e as atividades de navegação dos usuários ao usar as VPNs e senhas de texto simples não criptografadas.”
Então, esses aplicativos não apenas não fizeram jus às suas próprias palavras, mas também coletaram dados extras do usuário que a maioria dos usuários não previu. Afinal, a maioria dos consumidores pode assumir com razão que uma promessa de abster-se de coletar alguns dados potencialmente confidenciais se estenderia a uma promessa de se abster de coletar outros tipos de dados.
Mas, de acordo com o vpnMentor, esse não foi o caso, o que é uma clara violação da confiança do usuário.
Vamos colocar de outra maneira:
Imagine escolher um monitor de vídeo para bebês que prometia nunca carregar suas gravações de áudio para a nuvem, apenas para descobrir que não estava apenas enviando essas gravações para um servidor não seguro, mas também tirando fotos do seu bebê e enviando essas fotos também.
Em qual VPN confiar?
A confiança que você deposita no seu provedor de VPN é fundamental.
Lembre-se, uma VPN pode ajudar a proteger seu tráfego de ser visualizado pelo seu Provedor de Serviços de Internet, que pode ser uma grande empresa de telecomunicações, ou pode ser uma universidade ou uma escola. Uma VPN também pode ajudar a protegê-lo de solicitações governamentais para seus dados. Por exemplo, se você está fazendo um trabalho investigativo em outro país com um governo muito mais restritivo, uma VPN pode ajudar a ofuscar sua atividade na Internet desse governo, caso tenha interesse em você.
A coisa importante a notar aqui, no entanto, é que uma VPN está apenas servindo como um substituto para quem vê seus dados. Quando você usa uma VPN, não é seu ISP ou um governo restritivo visualizando sua atividade—é a própria VPN.
Então, como você encontra um provedor de VPN confiável que realmente protegerá sua atividade online? Aqui estão algumas diretrizes:
- Leia avaliações confiáveis de terceiros. Muitos dos problemas nos aplicativos acima foram detectados por bons revisores terceirizados. Ao escolher um provedor de VPN, confie nas palavras de alguns meios de comunicação confiáveis, como Tom’s Guide, TechRadar e CNET.
- Certifique-se de que um provedor de VPN tenha um contato de suporte ao cliente. Vários dos aplicativos de VPN investigados pelo vpnMentor não tinham nenhuma maneira clara de contatá-los. Se você está usando um produto, merece suporte ao cliente confiável e fácil de alcançar.
- Verifique a política de privacidade da VPN. Como aprendemos acima, uma política de privacidade não é uma garantia para a proteção real da privacidade, mas a abordagem de uma política de privacidade de uma empresa pode oferecer uma visão do pensamento da empresa e do quanto ela se importa mais com suas promessas.
- Tenha cuidado com VPNs gratuitas. Como escrevemos na semana passada, VPNs gratuitas geralmente vêm com compensações significativas, incluindo anúncios irritantes e a coleta e venda sub-reptícias de seus dados.
- Considere uma VPN feita por uma empresa em que você já confia. Mais empresas de privacidade e segurança cibernética online estão oferecendo ferramentas VPN para complementar seu conjunto de produtos atual. Se você já confia em qualquer uma dessas empresas—como Mozilla, Ghostery, ProtonMail ou, sim, Malwarebytes—então há boas razões para confiar em seus produtos VPN também.
É um mundo on-line complicado por aí, mas com as informações certas e a pesquisa certa e voltada para o futuro, você pode ficar seguro.
FONTE: MALWAREBYTES