Les VPN concernés sont : UFO VPN, VPN Fast, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN. Ils prétendent tous ne pas enregistrer l'activité des utilisateurs sur leurs applications respectives.
Ayant plusieurs points communs, ces sept VPN auraient été conçus par un seul développeur d'applications, suggèrent les chercheurs. En effet, ils ont laissé les données personnelles de leurs utilisateurs sur un serveur Elasticsearch complètement ouvert et accessible à tout le monde. De plus, ils sont tous basés à Hong Kong. Ils ont également un seul bénéficiaire pour les paiements, la société Dreamfii HK Limited. En outre, trois des VPN partagent une marque presque identique sur leurs sites Web.
Les données exposées
D'après le rapport, les données étaient toujours exposées durant l'enquête. Les chercheurs ont même constaté des entrées récentes.
Les données enregistrées dans le serveur Elasticsearch sont :
- les adresses e-mail des utilisateurs et leurs mots de passe ainsi que les demandes de changement de mot de passe ;
- l'activité des et les appareils utilisés tels que les journaux de connexion, l'historique de navigation, l'adresse IP d'origine, le type d'appareil ou le fournisseur d'accès Internet ;
- les informations relatives au compte Paypal des utilisateurs ainsi que les identifiants des titulaires de comptes de cryptomonnaie ;
- les entrées de données marquées Huawei ;
- des données personnelles identifiables (noms complets, adresse personnelle ou professionnelle, adresse IP d'origine et adresse IP du serveur VPN auquel l'utilisateur s'est connecté, identifiants de connexion au compte VPN).
Au total, plus d'un milliard d'enregistrements, pesant 1,207 téraoctet et appartenant à plus de 20 millions d'utilisateurs ont été exposés.
L'un des VPN gratuits s'explique
Contacté par vpnMentor, l'équipe d'UFO VPN a répondu :
- « En raison des changements de personnel provoqués par COVID-19, nous n'avons pas trouvé immédiatement de bogues dans les paramètres du pare-feu du serveur, ce qui entraîne le risque potentiel d'être piraté. La faille est actuellement corrigée » ;
- « Temps de risque potentiel : 29 juin - 13 juillet » ;
- « Nous ne collectons pas et ne restaurons pas les adresses personnelles des utilisateurs. Dans ce serveur, toutes les informations collectées sont anonymes et ne sont utilisées que pour analyser les performances et les problèmes du réseau de l'utilisateur afin d'améliorer la qualité du service. Certains feedbacks envoyés par les utilisateurs eux-mêmes contiennent des courriels, cependant, le nombre est très faible, moins de 1 % de nos utilisateurs » ;
- « Les mots de passe en texte clair ne sont pas le mot de passe pour se connecter à leurs comptes. Ce doivent être les jetons pour connecter les serveurs VPN, et nous les recueillons dans les commentaires des utilisateurs pour vérifier si le mauvais jeton est appliqué. Nous l'appelons « mot de passe » dans les commentaires et le stockons en clair. Mais pour les comptes d'utilisateurs et les mots de passe de connexion, nous les avons tous cryptés lors du transfert et du stockage ».
Par ailleurs, vpnMentor conseille aux utilisateurs de redoubler de vigilance dans le choix d'un fournisseur VPN pour éviter des fuites de données. Cette faille de sécurité est en effet à prendre au sérieux puisque les données exposées peuvent être utilisées par des individus malveillants pour mener des campagnes de phishing très efficaces. De plus, les informations relatives aux comptes de monnaie électronique pourraient suffire aux hackers pour voler l'argent appartenant à son propriétaire.
« Si l'un des stratagèmes criminels décrits ci-dessus réussissait, l'impact sur la vie personnelle et le bien-être financier d'une victime pourrait être dévastateur, surtout en cas de pandémie mondiale, avec tant d'incertitude, de chômage croissant et de récession imminente », alerte vpnMentor.
Source : vpnMentor
Et vous ?
Utilisez-vous un de ces VPN gratuits ? Si oui, qu'est-ce que vous envisagez de faire suite à la détection de cette faille ?
Quel est votre avis sur les VPN gratuits et du niveau de sécurité qu'ils garantissent ?
Voir aussi :
COVID-19 : l'utilisation des VPN explose suite à une hausse considérable du télétravail, ainsi que de l'utilisation des services de divertissement qui appliquent des restrictions géographiques
90 millions d'enregistrements de données personnelles divulgués sur Internet par la Chine, via un serveur ElasticSearch non sécurisé
Nombreux sont les produits VPN qui semblent être distincts mais sont tous gérés par la même poignée d'entreprises, d'après une enquête
Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées, via une base de données Elasticsearch non sécurisée
« Une erreur a été commise dans le paramétrage de la sécurisation des accès du serveur », explique le Figaro à propos d'une fuite de 8 To de données, dont celles d'abonnés et de journalistes