dimanche 9 août 2020
Promotion Meilleur VPN 2020
Accueil Alertes 7 fournisseurs de VPN basés à Hong Kong font fuiter des données...

7 fournisseurs de VPN basés à Hong Kong font fuiter des données personnelles

Tandis que les entreprises faisaient un usage important des technologies VPN pour connecter leurs collaborateurs au réseau de l’entreprise dans le contexte de la pandémie de COVID-19, les fournisseurs de VPN grand-publics gratuits ont également tiré parti de cet engouement (à la faveur de la confusion avec les VPN d’entreprise).

Tribune HackerOne – Or les services de « VPN en ligne » proposent (souvent gratuitement) surtout de l’anonymisation : ils permettent à un utilisateur ne voulant pas être tracé de se connecter via un serveur faisant office de relai. 

UFO VPN, un fournisseur de VPN basé à Hong Kong, qui se félicite de compter 20 millions d’utilisateurs, vient d’être pointé du doigt pour avoir exposé, par le biais d’une base de données non protégée, les logs journaliers d’utilisateurs. 

UFO VPN étant par ailleurs un VPN en marque blanche partageant sa base de code et son infrastructure, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN sont également impliqués dans ces fuites de données, représentant tout de même 1,207 To d’informations privées exposées (incluant des mots de passe et des données de géolocalisation ) !

Dates clés de la compromission :

  • 27 juin 2020 : Le serveur hébergeant les données a d’abord été indexé par le moteur de recherche Shodan.io
  • 1 juillet 2020 : Un expert en sécurité découvre les données exposées et notifie immédiatement UFO VPN
  • 14 juillet 2020 : l’expert en sécurité informe l’hébergeur
  • 15 juillet 2020 : la base de données a été sécurisée
  • 20 juillet 2020 : la base de données a été exposée une deuxième fois avec des données aussi récentes que le 19 juillet
  • 20 juillet 2020 : Le deuxième ensemble de données exposé a été attaqué et presque tous les enregistrements ont été détruits par une attaque de bot «Meow». Seuls les enregistrements nouvellement ajoutés sont restés.

Aaron Zander, Directeur Informatique de HackerOne, leader mondial de la sécurité collaborative commente : 

“Malheureusement, il est plus fréquent qu’on ne le pense que des bases de données se retrouvent exposées. Nous savons tous que la base de données d’une organisation contient des informations hautement stratégiques ou personnelles. Il existe de nombreux outils pour aider à prévenir ces erreurs, certains intégrés aux systèmes, d’autres externes. Beaucoup de ces outils sont fournis via un réseau intégrant des ports publics faciles à configurer avant de les fermer. Pourtant, de nombreuses bases de données sont laissées entrouvertes par erreur et la plupart des organisations ne remarqueront le problème qu’après une exposition. En fin de compte, il incombe toujours à l’organisation de s’assurer que des contrôles techniques (pare-feu, authentification, surveillance active) sont également en place pour garantir la sécurité de ces systèmes. L’utilisation d’une liste de contrôle pour vérifier que toutes les étapes ont été effectuées correctement peut aider à éviter que des erreurs administratives comme celle-ci ne se produisent”.

894 Go de données ont été stockés dans un cluster Elasticsearch non sécurisé. UFO VPN a affirmé que les données étaient «anonymes», mais sur la base des preuves disponibles, les journaux des utilisateurs et les enregistrements d’accès à l’API comprenaient les informations suivantes :
  • Mots de passe de compte en texte brut
  • Secrets et jetons de session VPN
  • Adresses IP des appareils utilisateur et des serveurs VPN auxquels ils se sont connectés
  • Horodatages de connexion
  • Géo-tags
  • Caractéristiques de l’appareil et du système d’exploitation
  • URL qui semblent être des domaines à partir desquels des publicités sont injectées dans les navigateurs Web des utilisateurs gratuits
Une grande partie de ces informations semble contredire la politique de confidentialité d’UFO VPN, qui stipule être un servie “no-logs” (ce qui est donc totalement faux) :
“Nous ne suivons pas les activités des utilisateurs en dehors de notre site, ni la navigation sur le site Web ou les activités de connexion des utilisateurs qui utilisent nos services.”
UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.