Falha em VPN chinesa gratuita expõe dados de 1 milhão de usuários
Usuários da VPN chinesa não tinham ciência da coleta de dados, sugerem pesquisadores de segurançaBy - Renata Aquino, 21 outubro 2021 às 16:53
Uma falha na VPN chinesa gratuita Quickfox expôs os dados de 1 milhão de usuários. A rede privada é usada principalmente para acessar sites de fora da China.
Uma VPN nada mais é que uma espécie de “túnel” em que as informações trocadas são criptografadas e tornam-se seguras. Com seu uso, por exemplo, é possível ter acesso a bancos de dados, programas e arquivos presentes em computadores que estão remotos, normalmente em outros territórios, de forma segura.
VPN exposta
O vazamento foi descoberto por especialistas em segurança da WizCase e revelou que um grande número de informações de identificação pessoal de usuários do serviço foram expostas, incluindo nomes, telefones e muito mais.
Esses dados não estavam protegidos por senha, credenciais de login ou criptografia. Estima-se que pelo menos 1 milhão de pessoas tenham sido impactadas nesse episódio.
Os arquivos foram descobertos através de um problema de configuração do servidor ElasticSearch, da Quickfox. A falha focava em uma vulnerabilidade de segurança do stack ELK.
De acordo com os pesquisadores, o ELK (ElasticSearch, Logstash e Kibana) é composto de três aplicativos de código aberto que ajudam a aprimorar buscas em arquivos grandes. Entre eles, os longos registros (logs) da Quickfox.
A Quickfox havia assegurado os registros do Kibana, mas o servidor ElasticSearch não tinha medidas de segurança. Na prática, bastava um navegador comum para acessar os registros do serviço e extrair informações sobre seus usuários, afirmou a WizCase.
O vazamento total de dados foi de mais de 500 milhões de registros e cerca de 100GB, incluindo informação pessoal de usuários e senhas com hash MD5 – que, teoricamente, seriam imunes a software para invasão de passwords.
Dor de cabeça extra
Mais preocupante ainda, os dados vazados não tinham apenas o endereço IP atrelado ao usuário, mas o IP original de onde ele se conectava à VPN. Surpreendentemente, a Quickfox também coletava dados sobre outros software de seus clientes.
É impossível dizer por que a VPN coletava estes dados, já que eles não eram necessários para que o serviço funcionasse e essa não é uma prática comum entre concorrentes do setor. Segundo os especialistas, os termos de uso e a política de privacidade nem podiam ser localizados para confirmar se os usuários sabiam quais informações a Quickfox extraia.
Fonte: Techradar
Comentários