Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs,
Via un serveur Elasticsearch non sécurisé

Le , par Axel Lecomte

127PARTAGES

7  0 
Les VPN gratuits, qui permettent de naviguer anonymement sur Internet en utilisant des adresses IP différentes de celle de l'utilisateur, ne sont pas si sûrs que ça à en croire un rapport édité par des chercheurs de vpnMentor. En effet, ce dernier a découvert l'existence d'une faille de sécurité dans sept d'entre eux, provoquant la fuite de données de 20 millions d'utilisateurs. Ces données pourraient être facilement utilisées par les hackers pour mener des activités malveillantes visant leur propriétaire, telles que des attaques de phishing ou des piratages.

Les VPN concernés sont : UFO VPN, VPN Fast, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN. Ils prétendent tous ne pas enregistrer l'activité des utilisateurs sur leurs applications respectives.


Ayant plusieurs points communs, ces sept VPN auraient été conçus par un seul développeur d'applications, suggèrent les chercheurs. En effet, ils ont laissé les données personnelles de leurs utilisateurs sur un serveur Elasticsearch complètement ouvert et accessible à tout le monde. De plus, ils sont tous basés à Hong Kong. Ils ont également un seul bénéficiaire pour les paiements, la société Dreamfii HK Limited. En outre, trois des VPN partagent une marque presque identique sur leurs sites Web.

Les données exposées

D'après le rapport, les données étaient toujours exposées durant l'enquête. Les chercheurs ont même constaté des entrées récentes.

Les données enregistrées dans le serveur Elasticsearch sont :

  • les adresses e-mail des utilisateurs et leurs mots de passe ainsi que les demandes de changement de mot de passe ;
  • l'activité des et les appareils utilisés tels que les journaux de connexion, l'historique de navigation, l'adresse IP d'origine, le type d'appareil ou le fournisseur d'accès Internet ;
  • les informations relatives au compte Paypal des utilisateurs ainsi que les identifiants des titulaires de comptes de cryptomonnaie ;
  • les entrées de données marquées Huawei ;
  • des données personnelles identifiables (noms complets, adresse personnelle ou professionnelle, adresse IP d'origine et adresse IP du serveur VPN auquel l'utilisateur s'est connecté, identifiants de connexion au compte VPN).

Au total, plus d'un milliard d'enregistrements, pesant 1,207 téraoctet et appartenant à plus de 20 millions d'utilisateurs ont été exposés.

L'un des VPN gratuits s'explique

Contacté par vpnMentor, l'équipe d'UFO VPN a répondu :

  • « En raison des changements de personnel provoqués par COVID-19, nous n'avons pas trouvé immédiatement de bogues dans les paramètres du pare-feu du serveur, ce qui entraîne le risque potentiel d'être piraté. La faille est actuellement corrigée » ;
  • «  Temps de risque potentiel : 29 juin - 13 juillet » ;
  • « Nous ne collectons pas et ne restaurons pas les adresses personnelles des utilisateurs. Dans ce serveur, toutes les informations collectées sont anonymes et ne sont utilisées que pour analyser les performances et les problèmes du réseau de l'utilisateur afin d'améliorer la qualité du service. Certains feedbacks envoyés par les utilisateurs eux-mêmes contiennent des courriels, cependant, le nombre est très faible, moins de 1 % de nos utilisateurs » ;
  • « Les mots de passe en texte clair ne sont pas le mot de passe pour se connecter à leurs comptes. Ce doivent être les jetons pour connecter les serveurs VPN, et nous les recueillons dans les commentaires des utilisateurs pour vérifier si le mauvais jeton est appliqué. Nous l'appelons « mot de passe » dans les commentaires et le stockons en clair. Mais pour les comptes d'utilisateurs et les mots de passe de connexion, nous les avons tous cryptés lors du transfert et du stockage ».

Par ailleurs, vpnMentor conseille aux utilisateurs de redoubler de vigilance dans le choix d'un fournisseur VPN pour éviter des fuites de données. Cette faille de sécurité est en effet à prendre au sérieux puisque les données exposées peuvent être utilisées par des individus malveillants pour mener des campagnes de phishing très efficaces. De plus, les informations relatives aux comptes de monnaie électronique pourraient suffire aux hackers pour voler l'argent appartenant à son propriétaire.

« Si l'un des stratagèmes criminels décrits ci-dessus réussissait, l'impact sur la vie personnelle et le bien-être financier d'une victime pourrait être dévastateur, surtout en cas de pandémie mondiale, avec tant d'incertitude, de chômage croissant et de récession imminente », alerte vpnMentor.

Source : vpnMentor

Et vous ?

Utilisez-vous un de ces VPN gratuits ? Si oui, qu'est-ce que vous envisagez de faire suite à la détection de cette faille ?
Quel est votre avis sur les VPN gratuits et du niveau de sécurité qu'ils garantissent ?

Voir aussi :

COVID-19 : l'utilisation des VPN explose suite à une hausse considérable du télétravail, ainsi que de l'utilisation des services de divertissement qui appliquent des restrictions géographiques
90 millions d'enregistrements de données personnelles divulgués sur Internet par la Chine, via un serveur ElasticSearch non sécurisé
Nombreux sont les produits VPN qui semblent être distincts mais sont tous gérés par la même poignée d'entreprises, d'après une enquête
Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées, via une base de données Elasticsearch non sécurisée
« Une erreur a été commise dans le paramétrage de la sécurisation des accès du serveur », explique le Figaro à propos d'une fuite de 8 To de données, dont celles d'abonnés et de journalistes

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Cpt Anderson
Membre expérimenté https://www.developpez.com
Le 20/07/2020 à 16:45
Citation Envoyé par Anselme45 Voir le message
Magnifique, ce monde du politiquement correct!

On a donc un seul produit d'une seule source qui présente son "oeuvre" sous 7 noms différents pour faire croire au "pigeon" qu'il a le choix entre différentes solutions... Il s'agit là tout simplement d'une tromperie!

Il est utile parfois de ne pas cacher la m... derrière son petit doigt!!!
Dans le même ordre d'idée, tu as une doctrine dominante qui est le mondialisme et plusieurs partis politiques qui ont tous des noms différents et qui poussent tous vers cette "religion", en faisant croire aux gens lors des élections qu'ils ont le choix. Si ca c'est pas une tromperie...
4  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 20/07/2020 à 11:28
...ces sept VPN auraient été conçus par un seul développeur d'applications, suggèrent les chercheurs. En effet, ils ont laissé les données personnelles de leurs utilisateurs sur un serveur Elasticsearch complètement ouvert et accessible à tout le monde. De plus, ils sont tous basés à Hong Kong. Ils ont également un seul bénéficiaire pour les paiements, la société Dreamfii HK Limited. En outre, trois des VPN partagent une marque presque identique sur leurs sites Web.
Magnifique, ce monde du politiquement correct!

On a donc un seul produit d'une seule source qui présente son "oeuvre" sous 7 noms différents pour faire croire au "pigeon" qu'il a le choix entre différentes solutions... Il s'agit là tout simplement d'une tromperie!

Il est utile parfois de ne pas cacher la m... derrière son petit doigt!!!
3  0 
Avatar de Yogiai
Candidat au Club https://www.developpez.com
Le 26/07/2020 à 16:29
Oui, merci de découvrir que l’on vit dans monde "bizarre" mais que proposez-vous comme solutions concrètes pour en sortir ? Ou, au moins, essayer ?
0  0