Los 7 proveedores de VPN que filtraron información privada de usuarios
Se ha revelado que siete servicios VPN que afirman que nunca registran el tráfico de usuarios hacen exactamente lo contrario. Estas VPN filtran esa información en Internet, según los investigadores de seguridad de vpnMentor.
A principios de este mes, vpnMentor descubrió un único servidor abierto que contenía información del usuario perteneciente a siete servicios VPN diferentes. El servidor está ubicado en Hong Kong y contiene información de usuarios de UFO VPN, Fast VPN y Free VPN.
En total, el servidor contenía 1.2TB de datos, incluidos nombres, contraseñas de usuarios, direcciones de correo electrónico y domicilios particulares para varios clientes. Pero el verdadero hallazgo alarmante fueron los registros de actividad almacenados. Los registros pueden revelar qué sitios visitan los clientes a través del ID de usuario, direcciones IP y dispositivos.
El incidente es bastante sorprendente, teniendo en cuenta que muchas personas que se suscriben a VPN lo hacen para proteger su privacidad. Sin embargo, el servidor expuesto esencialmente le brindó a cualquiera una manera fácil de monitorear las actividades en hasta 20 millones de usuarios.
Proveedores prometen “no registros”
Cada uno de los proveedores afectados también afirma ofrecer servicios VPN “sin registro”, lo que significa que supuestamente el tráfico de usuarios nunca se registra. Sin embargo, el servidor expuesto indica que esto estaba lejos de la verdad. “En algunos casos, se accedió a sitios ilícitos desde países donde ver dicho contenido es una actividad ilegal y punible”, dijo vpnMentor.
Según la investigación, el servidor expuesto parece pertenecer a una compañía principal, que luego ejecuta los siete servicios VPN bajo diferentes marcas. VpnMentor contactó a los proveedores afectados el 5 de julio, pero no fue hasta el 15 de julio cuando el servidor expuesto finalmente se aseguró.
UFO VPN les dijo a los investigadores:
“Debido a los cambios de personal causados por COVID-19, no hemos encontrado los errores en las reglas de firewall del servidor de inmediato. Esto conducirá al riesgo potencial de ser hackeado. Y ahora se ha solucionado. En la misma declaración, UFO VPN dijo que toda la información en el servidor era “anónima” y simplemente se usaba para analizar el rendimiento de la red de los usuarios”.
Declaración falsa
VpnMentor dice que eso es falso. Para verificar sus hallazgos, los investigadores probaron la aplicación UFO VPN. Ellos notaron que sus registros de actividad del usuario aparecían en el servidor expuesto en tiempo real.
“Además, pudimos ver claramente el nombre de usuario y contraseña que utilizamos para registrar nuestra cuenta, almacenados en los registros como texto sin formato”, agregaron.
El incidente subraya cómo algunos proveedores de VPN pueden ser bastante estafadores. “Lección: los servicios comerciales de VPN mienten. Mucho”. Tuiteó el investigador de seguridad Kenneth White.
Si te suscribes a UFO VPN o a los otros seis proveedores, te recomendamos que encuentres una mejor alternativa.
Algunos proveedores de VPN también se han esforzado por realizar una auditoría de seguridad para demostrar que tienen una política de no registro. Otros se están uniendo en una “iniciativa de confianza”. Esto para ayudar a garantizar que la industria VPN esté utilizando las mejores prácticas en seguridad y privacidad.