Израильская компания vpnMentor, работающая в сфере кибербезопасности, обнаружила в сети в открытом доступе персональную информации 20 миллионов пользователей группы бесплатных приложений VPN.
В частности, по данным компании, на открытом сервере были обнаружены 1,2 терабайта пользовательских данных, в том числе электронные адреса, незашифрованные пароли, IP- и домашние адреса, данные о моделях смартфонов, а также идентификаторы устройств. Затрагиваются такие VPN- сети, как UFO VPN , FAST VPN , Free VPN , Super VPN , Flash VPN, Secure VPN и Rabbit VPN.
Как уточнила «Коммерсантъ’у» группа экспертов, с учетом большого количества заблокированных в России зарубежных сайтов, бесплатные VPN весьма популярны в нашей стране. А, следовательно, среди пользователей скомпрометированных сервисов могут быть десятки, а может даже сотни тысяч россиян.
Действительно, сравнительно недавно, во времена противоборства Роскомнадзора с Telegram, многие наши сограждане, не менее 50%, кинулись устанавливать на свои телефоны бесплатные VPN или прокси-сервисы. А ведь еще тогда лаборатория компьютерной криминалистики Group-IB предупреждала об опасности, поскольку все они создают риск утечки персональных данных и не обеспечивают безопасность.
«Утечка выявляет опасную проблему, которая касается почти любых подобных приложений: разработчики обещают, но не гарантируют безопасность, - указывает начальник отдела информационной безопасности “СерчИнформ” Алексей Дрозд. - Они заявляют, что не собирают логи, но исследователи обнаруживают эти данные на серверах приложений. Проверить чистоплотность разработчиков можно, только посмотрев исходный код сервиса, а он почти в 100% случаев недоступен».
В свою очередь основатель DeviceLock Ашот Оганесян считает, что, несмотря на крупный масштаб утечки, серьезные проблемы для пользователей платформ отсутствуют. Однако и он убежден, что ссылки могут использоваться для фишинга, а e-mail и пароли — для взлома других ресурсов, где пользователи зарегистрировались с теми же данными.
На то, что бесплатные публичные VPN-сервисы не обеспечивают должным образом сохранность пользовательских данных, указывает РИА Новости и генеральный директор АНО «Цифровые платформы» Арсений Щельцин.
«Все эти VPN – как правило, публичные сервисы, не требующие оплаты от пользователей. Однако, учитывая, что у этих брендов толком и ответственного юридического лица не было, то надеяться на сохранность пользовательских данных не приходится», - поясняет он.
По словам эксперта, самое деликатное в этой истории - не потеря информации о доступах или параметрах пользовательского входа в VPN, а сами данные внутри системы.
«Контент, который передавался через эти VPN, вполне мог содержать паспортные данные или другие важные для пользователя данные», - пояснил Щельцин.
