Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей целого ряда популярных бесплатных VPN-сервисов, включая UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Об этом пишет газета "Коммерсант".
По данным экспертов, хранящаяся на незащищенном сервере база объемом 1,2 ТБ содержит адреса электронной почты, домашние адреса, незашифрованные пароли, IP-адреса, данные о моделях смартфонов и идентификаторы устройств пользователей.
Как полагают опрошенные изданием эксперты, среди пользователей скомпрометированных сервисов могут быть десятки и даже сотни тысяч россиян. При этом собеседники журналистов считают ироничным тот факт, что сервисы, предназначенные для обеспечения анонимности в интернете, оказались скомпрометированы, а данные их пользователей оказались в свободном доступе.
Руководитель группы по оказанию услуг в области кибербезопасности KPMG в России и СНГ Илья Шаленков считает, что подобными бесплатными приложениями как правило пользуются слабо подкованные в технических вопросах люди, которым требуется открыть заблокированный сайт или бесплатно сменить IP-адрес, чтобы зарегистрировать несколько учетных записей в игре или накрутить онлайн-голосование. Бесплатные VPN-решения обеспечивают минимальный уровень анонимности и защиты трафика, полагает Шаленков. Попавшие в Сеть данные могут быть использованы для рассылки спама и фишинга, а также обогащения платформ, занимающихся сбором информации о людях.
"Платежные ссылки на аккаунт PayPal могут использоваться для фишинга, а e-mail и пароли - для взлома других ресурсов, где пользователи зарегистрировались с теми же данными. Кроме того, логи активности, попав в руки злоумышленников, могут применяться для шантажа клиентов VPN-сервисов, так как их анализ позволит установить посещение им сайтов запрещенной тематики", - заявил основатель компании DeviceLock Ашот Оганесян.
"Утечка выявляет опасную проблему, которая касается почти любых подобных приложений: разработчики обещают, но не гарантируют безопасность. Они заявляют, что не собирают логи, но исследователи обнаруживают эти данные на серверах приложений. Проверить чистоплотность разработчиков можно, только посмотрев исходный код сервиса, - он почти в 100% случаев недоступен", - отметил начальник отдела информационной безопасности компании "СерчИнформ" Алексей Дрозд, подчеркнув, что на таком ловили и платные сервисы.
Напомним, на прошлой неделе компания Mozilla, разрабатывающая популярный браузер Firefox, официально запустила собственный VPN-сервис в версиях для Windows и Android. Пока что сервис, позволяющий обходить блокировки сайтов и создавать защищенное соединение, доступен в шести странах: США, Великобритании, Канаде, Новой Зеландии, Сингапуре и Малайзии. Новый сервис Mozilla работает на платной основе. Так, в США подписка на него составляет 5 долларов в месяц.
