Satu server terbuka mencantumkan nama, kata sandi, alamat email, dan alamat rumah pengguna dari berbagai layanan VPN berbasis di Hong Kong.
Σmenurut peneliti keamanannya vpnMentor, tujuh layanan VPN, yang mengklaim tidak pernah merekam aktivitas pengguna, ditemukan melakukan hal itu - dan membocorkan informasi ini secara online.
Awal bulan ini, vpnMentor Dia menemukan satu server terbuka yang berisi informasi pengguna untuk tujuh layanan VPN berbasis di Hong Kong, termasuk VPN UFO, VPN Cepat, dan VPN Gratis.
Secara total, server berisi 1,2 TB data, termasuk nama, kata sandi, alamat email, dan alamat rumah multi-pengguna. Tetapi temuan yang sangat mengganggu adalah log aktivitas yang disimpan, yang dapat mengungkapkan situs mana yang dikunjungi pengguna dan melalui ID pengguna, alamat IP, dan perangkat mana.
Ini adalah acara yang mengagumkan, karena sebagian besar pelanggan VPN melakukannya untuk melindungi privasi mereka. Namun, server terbuka memberi hampir semua orang, cara mudah untuk melacak aktivitas hingga 20 juta pengguna.
Semua penyedia yang terpengaruh mengklaim menawarkan layanan VPN "tidak terdaftar", yang berarti bahwa mereka tidak pernah merekam detail aktivitas pengguna. Namun, server yang terbuka menunjukkan bahwa ini tidak terjadi. VpnMentor menyatakan: "Dalam beberapa kasus, pengguna telah mengunjungi situs web ilegal di negara-negara di mana tampilan konten tersebut dilarang dan dapat dihukum."
Menurut penyelidikan, server yang terpapar tampaknya milik perusahaan yang menawarkan layanan VPN dengan 7 nama berbeda. VpnMentor menghubungi penyedia yang terpengaruh pada tanggal 5 Juli, tetapi akhirnya harus pergi pada tanggal 15 Juli hingga server yang terbuka diamankan.
UFO VPN memberi tahu penyelidik: "Karena perubahan staf akibat COVID-19, kami tidak segera menemukan bug dalam aturan firewall server, yang dapat menyebabkan potensi risiko pelanggaran. Tapi sekarang sudah diperbaiki. ” UFO VPN juga menyatakan bahwa semua informasi di server adalah "anonim" dan hanya digunakan untuk menganalisis kinerja jaringan pengguna.
VpnMentor mengatakan ini bukan masalahnya. Untuk memverifikasi temuan mereka, para peneliti menguji aplikasi VPN UFO dan memperhatikan bahwa log aktivitas pengguna muncul di server yang terbuka secara real time. Mereka sendiri menyatakan: “Selain itu, kami dapat dengan jelas melihat nama pengguna dan kata sandi yang kami gunakan untuk membuat akun kami, yang disimpan dalam log sebagai teks yang jelas."
Insiden tersebut menunjukkan bahwa beberapa penyedia VPN hanyalah penipu. Peneliti keamanan Kenneth White dia mentweetPelajaran: Layanan VPN komersial berbohong. Banyak kebohongan."
Layanan VPN "tanpa pencatatan" membuat jutaan log pengguna terbuka di server Elasticsearch yang terbuka, termasuk kata sandi teks biasa, geo, & IP dan membutuhkan waktu 2+ minggu untuk ditutup setelah diberi tahu.
Pelajaran: Layanan VPN komersial berbohong. Banyak.
- Kenn Putih (@kennwhite) Juli 16, 2020
Jika Anda berlangganan UFO VPN atau enam penyedia lainnya, kami sarankan Anda mencari alternatif yang lebih baik. Selain itu, beberapa penyedia VPN telah melalui pemeriksaan keamanan untuk menunjukkan bahwa mereka telah menerapkan kebijakan "tanpa pencatatan". Yang lain bekerja sama dalam "inisiatif kepercayaan" untuk memastikan bahwa industri VPN menggunakan praktik terbaik untuk keamanan dan privasi penggunanya.