Segurança

Falha em VPN chinesa gratuita expõe dados de 1 milhão de usuários

Usuários da VPN chinesa não tinham ciência da coleta de dados, sugerem pesquisadores de segurança

By - Renata Aquino, 21 outubro 2021 às 16:53

Uma falha na VPN chinesa gratuita Quickfox expôs os dados de 1 milhão de usuários. A rede privada é usada principalmente para acessar sites de fora da China.

Uma VPN nada mais é que uma espécie de “túnel” em que as informações trocadas são criptografadas e tornam-se seguras. Com seu uso, por exemplo, é possível ter acesso a bancos de dados, programas e arquivos presentes em computadores que estão remotos, normalmente em outros territórios, de forma segura.

VPN exposta

O vazamento foi descoberto por especialistas em segurança da WizCase e revelou que um grande número de informações de identificação pessoal de usuários do serviço foram expostas, incluindo nomes, telefones e muito mais.

Esses dados não estavam protegidos por senha, credenciais de login ou criptografia. Estima-se que pelo menos 1 milhão de pessoas tenham sido impactadas nesse episódio.

Os arquivos foram descobertos através de um problema de configuração do servidor ElasticSearch, da Quickfox. A falha focava em uma vulnerabilidade de segurança do stack ELK.

Falha em VPN chinesa gratuita expõe dados de 1 milhão de usuários

Reprodução: Alex Chumak on Unsplash

De acordo com os pesquisadores, o ELK (ElasticSearch, Logstash e Kibana) é composto de três aplicativos de código aberto que ajudam a aprimorar buscas em arquivos grandes. Entre eles, os longos registros (logs) da Quickfox.

A Quickfox havia assegurado os registros do Kibana, mas o servidor ElasticSearch não tinha medidas de segurança. Na prática, bastava um navegador comum para acessar os registros do serviço e extrair informações sobre seus usuários, afirmou a WizCase.

O vazamento total de dados foi de mais de 500 milhões de registros e cerca de 100GB, incluindo informação pessoal de usuários e senhas com hash MD5 – que, teoricamente, seriam imunes a software para invasão de passwords.

Dor de cabeça extra

Mais preocupante ainda, os dados vazados não tinham apenas o endereço IP atrelado ao usuário, mas o IP original de onde ele se conectava à VPN. Surpreendentemente, a Quickfox também coletava dados sobre outros software de seus clientes.

É impossível dizer por que a VPN coletava estes dados, já que eles não eram necessários para que o serviço funcionasse e essa não é uma prática comum entre concorrentes do setor. Segundo os especialistas, os termos de uso e a política de privacidade nem podiam ser localizados para confirmar se os usuários sabiam quais informações a Quickfox extraia.

Fonte: Techradar

China dados pessoais segurança vazamento VPN

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments

Matérias relacionadas

Conheça as vantagens de usar uma VPN no trabalho remoto

Netflix reforça restrições contra VPNs e passa a bloquear IPs residenciais

Veja Também

Segurança

Dados privados de população brasileira podem ter sido expostos novamente em vazamento
Imagem representativa mostra biscoitos (ou "cookies") em cima de um teclado de computador, em referência aos arquivos de navegação de internet dos usuários
Privacidade

Google já começou a desabilitar cookies de terceiros no Chrome
Logotipo da rede social Facebook
Tecnologia

Histórico de links: Facebook vai armazenar sites visitados pelos usuários para alimentar publicidade direcionada
Softwares

Google paga US$ 5 bi para pôr fim à ação coletiva por rastrear usuários no modo Incognito