VPNs com 20 milhões de usuários expõem dados pessoais e de navegação
Durante duas semanas, dados como e-mail, senha e endereço de usuários de sete VPNs ficaram expostos para qualquer pessoa
Durante duas semanas, dados como e-mail, senha e endereço de usuários de sete VPNs ficaram expostos para qualquer pessoa
Uma VPN deve proteger informações de usuários e garantir o sigilo da navegação, mas isso nem sempre acontece. É o caso de sete serviços que mantiveram expostos os dados pessoais de seus clientes por ao menos duas semanas. Segundo a empresa de segurança vpnMentor, que descobriu a vulnerabilidade, 20 milhões de usuários podem ter sido afetados.
Este é o número de usuários anunciado pela UFO VPN, apenas um dos serviços que manteve os dados expostos. A empresa afirma que o incidente ocorreu entre 29 de junho e 13 de julho. Além dela, a falha envolve FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN e Rabbit VPN. Os sete oferecem, gratuitamente, o que seriam redes privadas virtuais que não salvam logs de conexão.
Porém, a apuração do vpnMentor encontrou dados como e-mail, senhas não criptografadas, endereços de IP, endereços residenciais e modelos de dispositivos usados pelos clientes. O banco de dados exposto também permitiu acesso às informações de pagamento via PayPal e Bitcoin e às mensagens enviadas pelos usuários ao suporte das empresas.
A falha permitiu ainda que qualquer pessoa soubesse de detalhes da navegação, como logs de conexão, sites acessados, localização e provedores dos usuários. Essas informações eram mantidas no banco de dados usado pelos aplicativos para Android, iOS, Windows ou macOS. Para piorar, informações sobre servidores de VPN, incluindo sua localização, também ficaram expostos.
Com dados pessoais e de navegação à mostra, os usuários podem ser vítimas de phishing e extorsão, ou até mesmo serem presos, já que alguns sites encontrados no banco de dados são proibidos nos países em que foram acessados. “Essas VPNs traíram seus usuários mais vulneráveis e os expuseram a um grande perigo”, afirma o vpnMentor.
A análise indicou ainda que os sete serviços de VPN contam com o mesmo banco de dados e exibem o mesmo destinatário para pagamentos. Alguns deles mantém sites quase idênticos. Aparentemente, foram criados pelos mesmos desenvolvedores no modelo white label, em que apenas a marca exibida aos usuários é alterada.
O vpnMentor afirma que entrou em contato com as empresas em 5 de julho para alertá-las sobre a falha, mas teve dificuldades para obter retorno. A resposta mais detalhada veio da UFO VPN, que confirmou o período em que as informações ficaram visíveis para terceiros e afirmou que a situação havia sido resolvida.