Sju företag som tillhandahåller vad som ska vara säkra, anonyma uppkopplingar via VPN har en hel del att förklara i och med att de dessutom deklarerat att de inte loggar det användarna gör. Trots det så har över en terabyte med data, loggfiler, läckt ut på nätet.
Logfilerna har hittats på servrar som tillhör de aktuella företagen och informationen har legat publikt, helt oskyddad. Flera av de här företagen har sagt att de inte loggar det användarna gör.
“We do not track user activities outside of our site, nor do we track the website browsing or connection activities of users who are using our Services.”
Det skriver UFO VPN i sina regler – ändå finns miljontals personliga uppgifter i de loggfiler som hittats, helt oskyddade.
Motsägs
I en kommentar till uppgifterna så hävdar UFO VPN att informationen innehåller anonyma uppgifter och att logfilerna används för statistik och för att analysera hur användarna använder tjänsten. Ett påstående som direkt motsägs av innehållet.
- Account passwords in plain text
- VPN session secrets and tokens
- IP addresses of both user devices and the VPN servers they connected to
- Connection timestamps
- Geo-tags
- Device and OS characteristics
- URLs that appear to be domains from which advertisements are injected into free users’ web browsers
Det är synnerligen allvarligt att lösenord till konton lagrats i klartext, helt oskyddade, och lika allvarligt att användarens IP-adress finns angiven liksom till vilket IP-nummer användaren anslutit. Det innebär att VPN-tjänsten exponerat precis den information som användarna vill undvika att exponera – vilka de är, var de finns och när de anslutit mot tjänsten.
Samma bolag
Ett problem med flera leverantörer av VPN-tjänster är att det kan vara ett och samma företag som uppträder under samma namn eller som delar resurser med varandra. Servrar och annan utrustning köps in, delas vilket betyder att om en av de anslutna företagen brister i sin säkerhet så kan andra företags kunder exponeras – som här – sju företag (nedan) har delat resurser.
- UFO VPN
- FAST VPN
- Free VPN
- Super VPN
- Flash VPN
- Secure VPN
- Rabbit VPN
En VPN-leverantör som lagrar insamlad information, helt okrypterad, helt oskyddad på publika servrar har så uppenbara brister i sin säkerhet att det inte finns några skäl till att anta att företaget upprätthåller godtagbar säkerhet i några avseenden.
Länk
Macken: Nästan en tredjedel av alla VPN-företag ägs i hemlighet av kinesiska bolag
0 kommentarer