Le VPN « zéro journal » expose des millions de journaux, y compris les mots de passe des utilisateurs, et affirme que les données sont anonymes.
Le fournisseur VPN basé à Hong Kong, UFO VPN, a exposé une base de données de journaux d'utilisateurs et d'enregistrements d'accès aux API sur le Web sans mot de passe ni aucune autre authentification requise pour y accéder. Les informations exposées comprennent des mots de passe en texte brut et des informations qui pourraient être utilisées pour identifier les utilisateurs VPN et suivre leur activité en ligne.
Bob Diachenko, qui dirige l’équipe de recherche sur la sécurité de Comparitech, a découvert l’exposition, qui affecte à la fois les utilisateurs gratuits et payants d’UFO VPN. Il a immédiatement alerté l’entreprise après avoir découvert les données exposées le 1er juillet 2020.
Mise à jour du 21 juillet 2020 :Une fois les données exposées sécurisées, elles ont refait surface le 20 juillet à une adresse IP différente. Cet ensemble de données, qui, selon nous, a été exposé une deuxième fois par UFO VPN, était encore plus volumineux et contient des enregistrements aussi récents que le 19 juillet.
On ne sait pas exactement combien d’utilisateurs sont concernés, mais nos résultats suggèrent que potentiellement tous les utilisateurs connectés à UFO VPN au moment de l’exposition pourraient être compromis. UFO VPN prétend avoir 20 millions d'utilisateurs sur son site Web et la base de données expose plus de 20 millions de journaux par jour.
Plus de deux semaines après avoir envoyé une divulgation à UFO VPN, la société a fermé la base de données et a répondu par e-mail : « En raison des changements de personnel provoqués par COVID-19, nous n'avons pas immédiatement trouvé de bogues dans les règles de pare-feu du serveur, ce qui entraînera au risque potentiel d’être piraté. Et maintenant, c’est réparé.
'Nous ne collectons aucune information pour l'inscription', a déclaré le porte-parole. « Dans ce serveur, toutes les informations collectées sont anonymes et ne sont utilisées que pour analyser les performances et les problèmes du réseau de l'utilisateur afin d'améliorer la qualité du service. Pour l’instant, aucune information n’a été divulguée. [sic]
Mais sur la base de certains échantillons de données, nous ne pensons pas que ces données soient anonymes. Nous sommes en contact avec UFO VPN pour vérifier nos découvertes et mettrons à jour cet article en conséquence.
Nous recommandons aux utilisateurs d'UFO VPN de changer leur mot de passe immédiatement, et il en va de même pour tout autre compte partageant le même mot de passe.
Chronologie de l'exposition
La base de données a été exposée pendant près de trois semaines au total. Voici ce que nous savons :
- 27 juin 2020 : Le serveur hébergeant les données a été indexé pour la première fois par le moteur de recherche Shodan.io
- 1er juillet 2020 : Diachenko a découvert les données exposées et a immédiatement informé UFO VPN
- 14 juillet 2020 : Diachenko a informé l'hébergeur
- 15 juillet 2020 : La base de données est sécurisée.
- 20 juillet 2020 : la base de données a été exposée une deuxième fois avec des données aussi récentes que le 19 juillet.
- 20 juillet 2020 : le deuxième ensemble de données exposé a été attaqué et presque tous les enregistrements ont été détruits par une attaque de robot « Meow ». Seuls les enregistrements nouvellement ajoutés sont restés.
Nous ne savons pas si des parties non autorisées ont accédé aux données pendant leur exposition. Nos propres recherches montrent que les pirates peuvent trouver et attaquer des bases de données quelques heures après avoir été rendus vulnérables .
Quelles données ont été exposées ?
894 Go de données ont été stockés dans un cluster Elasticsearch non sécurisé. UFO VPN a affirmé que les données étaient « anonymes », mais sur la base des preuves disponibles, nous pensons que les journaux des utilisateurs et les enregistrements d'accès à l'API comprenaient les informations suivantes :
- Mots de passe de compte en texte brut
- Secrets et jetons de session VPN
- Adresses IP des appareils des utilisateurs et des serveurs VPN auxquels ils se sont connectés
- Horodatages de connexion
- Géolocalisations
- Caractéristiques de l'appareil et du système d'exploitation
- URL qui semblent être des domaines à partir desquels des publicités sont injectées dans les navigateurs Web des utilisateurs gratuits
Une grande partie de ces informations semblent contredire la politique de confidentialité d’UFO VPN, qui stipule :
«Nous ne suivons pas les activités des utilisateurs en dehors de notre site, ni la navigation sur le site Web ou les activités de connexion des utilisateurs qui utilisent nos services.»
Voir la politique de confidentialité d'UFO VPN ici .
Dangers des données exposées
Si des acteurs malveillants parvenaient à mettre la main sur les données avant qu’elles ne soient sécurisées, cela pourrait présenter plusieurs risques pour les utilisateurs d’UFO VPN.
Les mots de passe en texte brut constituent la menace la plus claire et la plus directe. Les pirates pourraient non seulement les utiliser pour détourner des comptes UFO VPN, mais pourraient également mener des attaques de credential stuffing sur d’autres comptes. Si le même mot de passe est utilisé sur plusieurs comptes, ils pourraient tous être compromis.
Les adresses IP pourraient être utilisées pour localiser les utilisateurs et corroborer leur activité en ligne. Les VPN sont souvent utilisés pour masquer la localisation réelle et l’activité en ligne des utilisateurs.
Les secrets et jetons de session pourraient être utilisés pour déchiffrer les données de session qu'un attaquant aurait pu capturer. Par exemple, si un attaquant interceptait des données cryptées envoyées via le VPN sur un réseau Wi-Fi compromis, il pourrait éventuellement décrypter ces données avec ces informations.
Les adresses e-mail pourraient être utilisées pour cibler les utilisateurs avec des messages de phishing et des escroqueries personnalisés.
Cette exposition démontre pourquoi nous encourageons régulièrement nos lecteurs à éviter les services VPN gratuits, qui ont tendance à avoir des normes de sécurité et de confidentialité inférieures à la moyenne. Idéalement, un service VPN ne devrait conserver aucun journal incluant les adresses IP.
À propos du VPN OVNI
UFO VPN est un fournisseur VPN basé à Hong Kong qui affirme servir 20 millions d'utilisateurs sur son site Web. Il prétend avoir une politique de zéro journal et une « protection de niveau bancaire », bien que ce ne soit sans doute pas le cas.
La société propose des forfaits gratuits et payants.
L’objectif marketing d’UFO VPN est de débloquer du contenu. Il promet l’accès aux sites Web bloqués, aux applications et aux services de streaming verrouillés par région comme Netflix.
Consultez notre liste de :- Meilleurs VPN
- Meilleur antivirus
- Meilleure protection contre le vol d'identité
Comment et pourquoi nous avons signalé cette exposition
Le chercheur en sécurité Bob Diachenko dirige l’équipe de recherche en sécurité de Comparitech pour rechercher et signaler les incidents au cours desquels des données personnelles ont été exposées sur le Web. Lorsque nous rencontrons des données non sécurisées, nous prenons immédiatement des mesures pour en informer le propriétaire afin qu'elles puissent être sécurisées dans les plus brefs délais.
Nous enquêtons sur des incidents de données comme ceux-ci pour savoir à qui appartiennent les données, qui pourrait être impacté, quelles informations sont exposées et quelles conséquences pourraient en résulter. Une fois les données sécurisées, nous publions un rapport comme celui-ci pour informer les utilisateurs qui pourraient être concernés et les sensibiliser.
Notre objectif est de lutter contre les accès malveillants et les abus de données personnelles. Nous espérons que notre rapport pourra sensibiliser à la cybersécurité et minimiser les dommages qui pourraient survenir aux utilisateurs finaux.
Rapports d'incidents de données précédents
Comparitech et Diachenko se sont associés pour signaler plusieurs incidents d'exposition de données, notamment :
- Le service civique français dévoile 1,4 million de fiches d'usagers
- 42 millions de numéros de téléphone et d’identifiants d’utilisateurs iraniens « Telegram » ont été piratés
- Les détails de près de 8 millions d’achats en ligne au Royaume-Uni ont été divulgués
- 250 millions de dossiers de support client Microsoft ont été exposés en ligne
- Plus de 260 millions d'identifiants Facebook ont été publiés sur un forum de hackers
- Près de 3 milliards d'adresses e-mail ont été divulguées, dont beaucoup avec les mots de passe correspondants
- Des informations détaillées sur 188 millions de personnes étaient conservées dans une base de données non sécurisée
- K12.com a dévoilé 7 millions de dossiers d'étudiants
- MedicareSupplement.com a rendu 5 millions de dossiers personnels accessibles au public
- Plus de 2,5 millions de dossiers clients CenturyLink ont été divulgués
- Choice Hotels divulgue les enregistrements de 700 000 clients