Notas de ImprensaNotícias

Sete serviços de VPN com fuga de dados de mais de 20 milhões de utilizadores

Lisboa, 23 de julho de 2020 – Um relatório citado hoje pela empresa de cibersegurança ESET revela que sete serviços de VPN – que se propõem a salvaguardar a privacidade dos seus utilizadores enquanto navegam pela Internet – foram alvo de uma fuga de dados que põe em causa as credenciais de mais de 20 milhões de utilizadores.

Os serviços afetados são: UFO VPN, FAST VPN, FREE VPN, SUPER VPN, Flash VPN, Secure VPN e Rabbit VPN.

O problema é tanto mais grave quanto estes serviços garantem que, precisamente por uma questão de segurança e privacidade, não mantêm registos (“logs”) das atividades dos seus utilizadores. No entanto, deixaram recentemente visíveis para quem quer que quisesse ver, cerca de 1,2 terabytes de dados privados dos seus clientes.

Os dados, encontrados num servidor partilhado por estes fornecedores de serviços, incluía a informação pessoal identificável (“Personally Identifiable Information”, ou PII) de, potencialmente, mais de 20 milhões de utilizadores das VPNs, de acordo com investigadores da vpnMentor, que descobriu a falha de segurança.

Além de detalhes pessoais, que incluíam os endereços de email bem como as moradas físicas dos utilizadores, os dados expostos continham passwords (não encriptadas), endereços IP das máquinas usadas e, em muitos casos, também registos de atividade (“Internet activity logs”), o que põe em causa as políticas destes provedores, que garantem não manter quaisquer registos de navegação dos seus clientes.

O relatório da vpnMentor sugere que todos estes serviços baseados em Hong Kong têm por detrás a mesma base de código, o mesmo desenvolvedor e a mesma aplicação – no fundo são soluções tipo “produto branco” que depois adotam diferentes marcas de acordo com a empresa que as comercializa.

Esta suposição é fundamentada na partilha de serviços no mesmo servidor, que hospeda os mesmos ativos e pelo facto de que todos os serviços VPN afetados partilham um único beneficiário para receção de pagamentos.

Os investigadores executaram uma série de testes utilizando um dos serviços, UFO VPN. Após o download e utilização da app móvel para ligação aos servidores à volta do mundo, as suas atividades foram efetivamente registadas numa base de dados, incluindo os seus dados pessoais, emails, endereços IP, dispositivo usado para acesso e servidor ao qual este estava ligado. Além disso, a base de dados também registou o nome de utilizador e respetiva password usada para criar a conta.

Pior, a base de dados continha até dados técnicos sobre os dispositivos no qual a VPN estava instalada, que permitiam facilmente identificar e localizar o seu utilizador. Ou seja, o serviço VPN não estava a oferecer qualquer proteção aos utilizadores e, pelo contrário, o que lhes dava era uma falsa sensação de segurança.

Os investigadores revelaram a sua descoberta aos provedores de serviço no dia 5 de julho e contactaram a Hong Kong Computer Emergency Response Team no dia 8 de julho. O servidor comprometido foi encerrado no passado dia 15.

A ESET aconselha os utilizadores de qualquer um destes serviços comprometidos a mudar para outra VPN e alterarem a sua informação de acesso noutras contas em que utilizem o mesmo nome de utilizador e password.

Mais informação: https://www.eset.com

Previous post

Blitzwolf BW-KB1 [Teclado gaming]

Next post

Razer Blackshark V2 - A nova tripla ameaça para Esports

Luís Alves

Luís Alves

Cargo: Fundador & CEO
Naturalidade: Santa Maria da Feira

Atualmente no 5º ano do Mestrado Integrado em Engenharia Mecânica na FEUP (especialização Automação), licenciado em Engenharia Mecânica pelo IPV.

Sou o moda’a’foca original, um dos guru do modding e tecnologia em Portugal. Desde novo autodidata, sempre gostei de criar, inventar e inovar. Na base tecnológica gosto além do modding, de sistemas de refrigeração a água, hardware e um novo fascínio pela impressão 3D. Considero bastante importante a partilha de conteúdos e conhecimentos.

Desde Abril de 2014 podem também me encontrar na Rubrica PLUG da revista PCGuia todos os meses. Em Julho de 2017 fundei as Hashtag Dondoca, um projeto de Lifestyle no feminino em português onde sou director artístico.