Az ingyenes VPN-szolgáltatókról több mint 21 millió felhasználó személyes adatai szivárogtak ki. A felhasználói adatokat tartalmazó adatbázist a közelmúltban fedezte fel a CyberNews: a szivárgás potenciálisan komoly adatvédelmi és biztonsági kockázatot jelent.

A hatalmas adatszivárgás által érintett szolgáltatók a legnépszerűbb ingyenes androidos VPN-ek – a SuperVPN (több mint 10.000.000 telepítés a Google Playen), a GeckoVPN (több mint 10.000.000 telepítés) és a ChatVPN (több mint 50.000 telepítés). A február 24-ei adatbázist jelenleg árnyékfórumokon árulják, ismeretlen áron.

A szivárgás oka valószínűleg a szolgáltató hanyag gyakorlata volt a felhasználói információk naplózása során, mivel nem tették meg a megfelelő óvintézkedéseket a biztonság érdekében. A VPN-ek nem csak a felhasználói információkat tárolták, hanem az alapértelmezett szerver bejelentkezési információkat is megtartották, ami miatt rendkívül könnyen hozzáférhetővé váltak.

Mekkora a kár?

Ez nem az első alkalom, hogy ingyenes VPN szolgáltatók felelősek tömeges adatszivárgásért.

Különösen a SuperVPN vált csúnya kibertámadás áldozatává 2020 júliusában. Úgy tűnik azonban, hogy a szolgáltatók nem tanulták meg a leckét, és nem hoztak semmilyen további intézkedést a felhasználók biztonságának védelme érdekében.

Ezúttal az adatszivárgás egyszerre kiterjedtebb és sokkal érzékenyebb adatokat is tartalmaz. Amint a bejegyzés névtelen szerzője kijelentette, a kiszivárgott adatbázis olyan információkat tartalmaz, mint:

• Email címek
• Felhasználónevek
• A felhasználók teljes nevei
• A felhasználó származási országa
• Véletlenszerűen generált jelszavak
• Fizetési adatok
• A feliratkozások státusza és lejárati dátuma.

Bár az összes kiszivárgott információ érzékeny, a véletlenszerű jelszó-karakterláncok okozzák a legnagyobb aggodalmat. Ezek összekapcsolhatók a Google Play-fiókokkal, ami veszélybe sodorja a felhasználók pénzügyi adatait.

A szivárgás további információkat tartalmaz a következőkről:

• A felhasználók eszközazonosítói és sorozatszámai
• Az eszközök IMSI számai (nemzetközi mobil előfizető azonosító)
• Telefon típusok és gyártók

A potenciális támadók felhasználhatják ezeket az információkat további rosszindulatú tevékenységek végrehajtására, például közbeékelődéses (MITM) támadásokra, további hozzáféréshez jutva a felhasználók eszközeihez és pénzügyi információihoz.

Annak ellenére, hogy még mindig vita folyik arról, hogy a szivárgás valós-e, a posztban szereplő adatok példái létezőnek tűnnek. Ha mindez igaz, az hatalmas csapást jelent az említett ingyenes VPN-szolgáltatók hitelességére nézve, valamint hatalmas veszélyt jelent több mint 21 millió felhasználó számára.

Mi a következő lépés?

A SuperVPN, a GeckoVPN és a ChatVPN még nem tett közzé semmiféle nyilatkozatot az állítólagos támadásról. Azonban, ha a szivárgásra vonatkozó adatok igazak, akkor ez azt jelenti, hogy a VPN-szolgáltatók sokkal több adatot tárolnak, mint amennyit az adatvédelmi irányelveik megengednek.

Ha használtad az említett (vagy bármely más) ingyenes VPN-alkalmazások egyikét, azt javasoljuk, hogy:

1. Ellenőrizd, hogy a személyes adataid kiszivárogtak-e;
2. Módosítsd az online jelszavaidat, lehetőleg egy jelszógenerátor használatával;
3. Távolítsd el a már meglévő ingyenes VPN-t, és iratkozz fel olyan a szolgáltató(k)hoz, amely(ek) garantálják az online biztonságodat.

Az online biztonság és az internetes magánélet napról napra egyre nagyobb aggodalomra ad okot. És úgy tűnik, hogy az ingyenes VPN-szolgáltatók többsége nem tudja garantálni a neked szükséges biztonságot.

Tedd meg a szükséges óvintézkedéseket még ma, és szabadulj meg egy holnapi hatalmas adatszivárgás kellemetlenségeitől.