Tandis que les entreprises faisaient un usage important des technologies VPN pour connecter leurs collaborateurs au réseau de l’entreprise dans le contexte de la pandémie de COVID-19, les fournisseurs de VPN grand-publics gratuits ont également tiré parti de cet engouement (à la faveur de la confusion avec les VPN d’entreprise).
Tribune HackerOne – Or les services de « VPN en ligne » proposent (souvent gratuitement) surtout de l’anonymisation : ils permettent à un utilisateur ne voulant pas être tracé de se connecter via un serveur faisant office de relai.
UFO VPN, un fournisseur de VPN basé à Hong Kong, qui se félicite de compter 20 millions d’utilisateurs, vient d’être pointé du doigt pour avoir exposé, par le biais d’une base de données non protégée, les logs journaliers d’utilisateurs.
UFO VPN étant par ailleurs un VPN en marque blanche partageant sa base de code et son infrastructure, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN sont également impliqués dans ces fuites de données, représentant tout de même 1,207 To d’informations privées exposées (incluant des mots de passe et des données de géolocalisation ) !
Dates clés de la compromission :
- 27 juin 2020 : Le serveur hébergeant les données a d’abord été indexé par le moteur de recherche Shodan.io
- 1 juillet 2020 : Un expert en sécurité découvre les données exposées et notifie immédiatement UFO VPN
- 14 juillet 2020 : l’expert en sécurité informe l’hébergeur
- 15 juillet 2020 : la base de données a été sécurisée
- 20 juillet 2020 : la base de données a été exposée une deuxième fois avec des données aussi récentes que le 19 juillet
- 20 juillet 2020 : Le deuxième ensemble de données exposé a été attaqué et presque tous les enregistrements ont été détruits par une attaque de bot «Meow». Seuls les enregistrements nouvellement ajoutés sont restés.
Aaron Zander, Directeur Informatique de HackerOne, leader mondial de la sécurité collaborative commente :
“Malheureusement, il est plus fréquent qu’on ne le pense que des bases de données se retrouvent exposées. Nous savons tous que la base de données d’une organisation contient des informations hautement stratégiques ou personnelles. Il existe de nombreux outils pour aider à prévenir ces erreurs, certains intégrés aux systèmes, d’autres externes. Beaucoup de ces outils sont fournis via un réseau intégrant des ports publics faciles à configurer avant de les fermer. Pourtant, de nombreuses bases de données sont laissées entrouvertes par erreur et la plupart des organisations ne remarqueront le problème qu’après une exposition. En fin de compte, il incombe toujours à l’organisation de s’assurer que des contrôles techniques (pare-feu, authentification, surveillance active) sont également en place pour garantir la sécurité de ces systèmes. L’utilisation d’une liste de contrôle pour vérifier que toutes les étapes ont été effectuées correctement peut aider à éviter que des erreurs administratives comme celle-ci ne se produisent”.
- Mots de passe de compte en texte brut
- Secrets et jetons de session VPN
- Adresses IP des appareils utilisateur et des serveurs VPN auxquels ils se sont connectés
- Horodatages de connexion
- Géo-tags
- Caractéristiques de l’appareil et du système d’exploitation
- URL qui semblent être des domaines à partir desquels des publicités sont injectées dans les navigateurs Web des utilisateurs gratuits
“Nous ne suivons pas les activités des utilisateurs en dehors de notre site, ni la navigation sur le site Web ou les activités de connexion des utilisateurs qui utilisent nos services.”