Nomes completos, endereços de e-mail, endereços físicos, informações financeiras, senhas em texto sem formatação, logs do usuário, mensagens de suporte ao usuário e muito mais dados foram expostos do banco de dados da VPN UFO na última quinta-feira (16), segundo informações do HackRead.

E apesar de a empresa afirmar que não armazena registros de usuários, o problema parece ter sido muito mais grave. Conforme o relatório do vpnMentor, bancos de dados de outras seis empresas de VPN, como Fast VPN, VPN Grátis, Super VPN, Flash VPN, VPN segura e VPN Rabbit, também expuseram 1.207 TB de dados com 1.083.997.361 registros divulgados ao acesso público.

Segundo os pesquisadores, o motivo pelo qual todos esses serviços foram considerados vulneráveis ao mesmo tempo, pode ser atribuído ao uso do mesmo desenvolvedor, ao mesmo servidor Elasticsearch,  ao mesmo destinatário para pagamentos. Há também marcas muito semelhantes em seus sites e são “hospedadas nos mesmos ativos”, esses pontos em comum apontados mostram que as empresas não são independentes entre si.

Ainda conforme o HackRead, também foram vazados meta-detalhes, como especificações técnicas de dispositivos do usuário, identidades dos ISPs (Internet Service Providers), sites visitados juntamente com o endereço IP do usuário, no qual eles se conectaram inicialmente à VPN.

 

Breach-Data-Hotel-vpnMentor-450x270.jpg

Os dados podem ser usados por qualquer agente de ameaças para acessar de forma não autorizada as contas dos usuários. Foto: Reprodução

Pesquisadores realizaram testes e relataram a falha em um post. “Para confirmar nossas descobertas iniciais, executamos uma série de testes usando a UFO VPN. Depois de baixá-lo no dispositivo, usamos o aplicativo UFO VPN para conectar-se a servidores em todo o mundo. Ao fazer isso, novos logs de atividades foram criados no banco de dados, com nossos dados pessoais, incluindo um endereço de e-mail, local, endereço IP, dispositivo e os servidores aos quais nos conectamos. Além disso, pudemos ver claramente o nome de usuário e senha que usamos para registrar nossa conta, armazenados nos logs como texto não criptografado. Isso confirmou que o banco de dados era real e os dados estavam ativos”, relataram.

Servidores vulneráveis 

Com mais de 20 milhões de downloads em todo o mundo, os aplicativos, disponíveis em versões para Android e iOS, estavam não apenas com o servidor desprotegido, mas era possível encontrar e-mails e senhas de acesso em arquivos de texto simples, sem nenhum tipo de criptografia, conforme a descoberta dos especialistas do vpnMentor.

Além disso, era possível encontrar detalhes sobre a conexão feita pelos usuários, com seus IPs originais e os usados para mascarar a conexão, assim como a localização geográfica em que eles se encontram e o país escolhido para uso da VPN, em um comprometimento que é exatamente o oposto da proposta de qualquer serviço de VPN. 

Os servidores abertos também traziam registros de pagamento de assinaturas, com direito a informações sobre a utilização de criptomoedas ou plataformas de pagamento, trocas de mensagens com o suporte e os smartphones usados para acesso, junto com informações técnicas dos aparelhos e o tipo de conexão utilizada, entre redes Wi-Fi ou móveis. Os sete serviços de VPN contam com o mesmo banco de dados e exibem o mesmo destinatário para pagamentos, além disso, alguns mantém sites quase idênticos.  

A falta de privacidade dos dados é o maior risco envolvendo os usuários comprometidos em vazamentos como este. Países com regimes autoritários ou onde a internet é controlada, a revelação destas informações pode ter consequências reais e trágicas, colocando-os na mira das autoridades.

Pois, com a posse do histórico de acesso e das informações pessoais dos utilizadores, hackers podem chantagear as vítimas, ameaçando divulgar os detalhes de sua atividade online para empregadores, familiares e cônjuges. Fraudes também podem ser tentadas contra os usuários, com golpistas se passando pelas plataformas de VPN ou representantes de outros serviços legítimos utilizando as informações vazadas para dar aparência de legitimidade à comunicação. 

O vpnMentor afirma que entrou em contato com as empresas em 5 de julho para alertá-las sobre a falha, mas teve dificuldades para obter retorno. Já a UFO VPN confirmou o período em que as informações ficaram visíveis para terceiros e afirmou que a situação havia sido resolvida.