Εταιρεία VPN με zero logs πολιτική, διέρευσε 20εκ logs χρηστών

19/07/2020 0 comments 110 Reads

Ποτέ μην εμπιστεύεστε ότι είναι δωρεάν.

Πρόκειται για την εταιρεία VPN ονόματι "UFO VPN" με έδρα το Χονγκ Κονγκ που ανήκει στην Dreamfii HK Limited και το αστείο της υπόθεσης είναι ότι μια εταιρία που διαφημίζει ότι μπορεί να μας προστατεύσει, τελικά αποδεικνύεται ότι δεν μπορεί ούτε το δικό της σύστημα να προστατεύσει.

UFO VPN does not collect, monitor, or log any traffic or use of its Virtual Private Network service, under any circumstances, on any platform.

Η UFO VPN, η οποία τόνιζε ότι δεν κρατάει τα αρχεία καταγραφής (logs) των χρηστών της, τελικά αποδείχτηκε ψεύτρα και διέρρευσαν περισσότερα από 20 εκατομμύρια αρχεία καταγραφής. Αυτά που δεν κράταγε δηλαδή.

Το hacking ανακαλύφθηκε από ερευνητές της Comparitech την 1η Ιουλίου 2020. Η ζημιά προέκυψε λόγω της απουσίας κωδικού πρόσβασης της βάσης δεδομένων.

Με υλικό περί τα 894GB, τα δεδομένα περιλαμβάνουν κωδικούς πρόσβασης σε απλό κείμενο (όχι hashed δηλαδή), διευθύνσεις IP, χρονικές σημάνσεις των συνδέσεων χρηστών, διακριτικά συνεδρίας, πληροφορίες της συσκευής και λειτουργικό σύστημα, καθώς και γεωγραφικές πληροφορίες με τη μορφή ετικετών.

Οι συνέπειες αυτού του φαινομένου είναι αρκετά επικίνδυνες, καθώς όχι μόνο οι λογαριασμοί χρηστών κινδυνεύουν να αναληφθούν από κακόβουλα άτομα, αλλά οι χρήστες μπορούν επίσης να παρακολουθούνται στο διαδίκτυο.

Επιπλέον, χρησιμοποιώντας τα session tokens (ειδικά διακριτικά σύνδεσης), τυχόν κρυπτογραφημένα δεδομένα στα οποία αποκτά πρόσβαση κάποιος θα μπορούσαν επίσης να αποκρυπτογραφηθούν καθιστώντας ολόκληρη την έννοια της κρυπτογράφησης άχρηστη.

Η εταιρία ειδοποιήθηκε για το συμβάν και η βάση δεδομένων τους ασφαλίστηκε στις 15 Ιουλίου. Η εταιρία ανέφερε ότι λόγω αλλαγής κάποιων υπαλλήλων της, ήταν αδύνατον να ανακαλυφθεί νωρίτερα η εισβολή στους server της.