Uma falha na VPN chinesa gratuita Quickfox expôs os dados de 1 milhão de usuários. A rede privada é usada principalmente para acessar sites de fora da China.

Uma VPN nada mais é que uma espécie de “túnel” em que as informações trocadas são criptografadas e tornam-se seguras. Com seu uso, por exemplo, é possível ter acesso a bancos de dados, programas e arquivos presentes em computadores que estão remotos, normalmente em outros territórios, de forma segura.

VPN exposta

O vazamento foi descoberto por especialistas em segurança da WizCase e revelou que um grande número de informações de identificação pessoal de usuários do serviço foram expostas, incluindo nomes, telefones e muito mais.

Esses dados não estavam protegidos por senha, credenciais de login ou criptografia. Estima-se que pelo menos 1 milhão de pessoas tenham sido impactadas nesse episódio.

Os arquivos foram descobertos através de um problema de configuração do servidor ElasticSearch, da Quickfox. A falha focava em uma vulnerabilidade de segurança do stack ELK.

alex chumak zguburggmdy unsplash 1 195202

Reprodução: Alex Chumak on Unsplash

De acordo com os pesquisadores, o ELK (ElasticSearch, Logstash e Kibana) é composto de três aplicativos de código aberto que ajudam a aprimorar buscas em arquivos grandes. Entre eles, os longos registros (logs) da Quickfox.

A Quickfox havia assegurado os registros do Kibana, mas o servidor ElasticSearch não tinha medidas de segurança. Na prática, bastava um navegador comum para acessar os registros do serviço e extrair informações sobre seus usuários, afirmou a WizCase.

O vazamento total de dados foi de mais de 500 milhões de registros e cerca de 100GB, incluindo informação pessoal de usuários e senhas com hash MD5 – que, teoricamente, seriam imunes a software para invasão de passwords.

Dor de cabeça extra

Mais preocupante ainda, os dados vazados não tinham apenas o endereço IP atrelado ao usuário, mas o IP original de onde ele se conectava à VPN. Surpreendentemente, a Quickfox também coletava dados sobre outros software de seus clientes.

É impossível dizer por que a VPN coletava estes dados, já que eles não eram necessários para que o serviço funcionasse e essa não é uma prática comum entre concorrentes do setor. Segundo os especialistas, os termos de uso e a política de privacidade nem podiam ser localizados para confirmar se os usuários sabiam quais informações a Quickfox extraia.

Fonte: Techradar

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *