ΑρχικήsecurityΚινεζικό free VPN εξέθεσε τα data από πάνω από ένα εκατ. χρήστες

Κινεζικό free VPN εξέθεσε τα data από πάνω από ένα εκατ. χρήστες

Οι ερευνητές cybersecurity ανακάλυψαν μη κρυπτογραφημένα δεδομένα περίπου ενός εκατομμυρίου χρηστών του Quickfox, μιας δωρεάν υπηρεσίας εικονικού ιδιωτικού δικτύου (VPN) που χρησιμοποιείται κυρίως για πρόσβαση σε κινεζικούς ιστότοπους εκτός της ηπειρωτικής Κίνας.

Δείτε επίσης: Zerodium: Ζητά zero-day exploits για υπολογιστές Windows VPN

VPN

Δείτε επίσης: NSA,CISA: Οδηγίες για την ενίσχυση της ασφάλειας των λύσεων VPN

Σχολιάζοντας το εύρημα, η WizCase λέει ότι τα δεδομένα αποκάλυψαν μια ποικιλία προσωπικών στοιχείων ταυτοποίησης (PII) των χρηστών της υπηρεσίας, συμπεριλαμβανομένων των ονομάτων, των αριθμών τηλεφώνου και άλλων.

«Δεν χρειαζόταν κωδικός πρόσβασης ή login credentials για να δείτε αυτές τις πληροφορίες και τα δεδομένα δεν ήταν κρυπτογραφημένα. Με βάση τα αρχεία που εκτέθηκαν, η ομάδα μας εκτιμά ότι η παραβίαση επηρέασε τουλάχιστον ένα εκατομμύριο χρήστες του Quickfox», γράφει η WizCase.

Οι ερευνητές ασφάλειας ισχυρίζονται ότι προσπάθησαν να φέρουν την διαρροή στην προσοχή του Quickfox, αλλά ο δωρεάν πάροχος VPN δεν έχει απαντήσει ακόμη στα χαιρετίσματά τους.

Τα δεδομένα ανακαλύφθηκαν μέσω λανθασμένου configuration στον server ElasticSearch του Quickfox χάρη στην ελλιπή ασφάλεια στοίβας ELK.

Οι ερευνητές εξηγούν ότι το ELK (Elasticsearch, Logstash και Kibana) είναι τρεις εφαρμογές ανοιχτού κώδικα που βοηθούν στον εξορθολογισμό των αναζητήσεων μέσω μεγάλων αρχείων, όπως τα αρχεία καταγραφής μιας διαδικτυακής υπηρεσίας όπως το Quickfox.

Τα συνολικά δεδομένα που διέρρευσαν αποτελούνταν από πάνω από 500 εκατομμύρια εγγραφές και έφταναν συνολικά τα 100 GB. Περίπου ένα εκατομμύριο από αυτές τις εγγραφές είχαν PII χρηστών, συμπεριλαμβανομένων των κωδικών πρόσβασης MD5.

Δείτε επίσης: Γιατί να χρησιμοποιήσετε ένα πρόγραμμα VPN για το Netflix

Ωστόσο, ανησυχητικό είναι ότι τα δεδομένα που διέρρευσαν δεν περιείχαν μόνο τη διεύθυνση IP που έχει εκχωρηθεί στον χρήστη, αλλά και την αρχική διεύθυνση IP του χρήστη από την οποία συνδέθηκε στην υπηρεσία VPN. Η WizCase εξεπλάγη επίσης που η υπηρεσία συλλέγει δεδομένα σχετικά με το άλλο software που είναι εγκατεστημένο στη συσκευή του χρήστη.

Πηγή πληροφοριών: techradar.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS