פרצה בשורת אפליקציות VPN חשפה פרטים רגישים של מעל 20 מיליון משתמשים - בהם ישראלים
הפרצה זוהתה בין היתר באפליקציות UFO VPN, FAST VPN, Free VPN ו-Super VPN, שלדברי חוקרי הסייבר של אתר vpnMentor, נוצרו ומופעלים על ידי חברה אחת מהונג קונג, אך משווקים על ידי מספר חברות; בפרצה, שתוקנה כבר, נחשפה כמות עצומה של 1.08 מיליארד רשומות מידע שונות
פרצת אבטחה בשורה של אפליקציות VPN לסמארטפון חשפה פרטים אישיים רגישים, סיסמאות ואפילו נתוני גלישה של יותר מ-20 מיליון משתמשים, בהם גם ישראלים – כך כך חושף צוות חוקרי סייבר ישראלים של אתר VPNmentor, בהובלת ההאקר נעם רותם. הדיווח מתפרסם רק לאחר שהפרצה תוקנה.
- עדכנו בהקדם: פרצת אבטחה מאיימת על הסמארטפונים של סמסונג
- אפל מאשרת: פרצת אבטחה חמורה קיימת ב-iOS מזה כמעט 8 שנים
- פרצת אבטחה בחברת Annatel חשפה אלפי התכתבויות בין לקוחות לעובדי החברה
הפרצה זוהתה באפליקציות UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN ו-Rabbit VPN, שלדברי החוקרים משווקים על ידי חברות שונות מהונג קונג, ובהן Dreamfii, Mobipotato, Straxmobi ו-Nownetmobi.
כן מציינים החוקרים שהשירותים השונים חולקים שרת ומאפיינים משותפים נוספים שמצביעים על כך שכולם פותחו ומופעלים על ידי אותה חברה, והם רק משווקים על ידי חברות שונות. בפריצה נחשפה כמו עצומה של רשומות מידע, 1.08 מיליארד רשומות שונות בסך הכל בגודל כולל של 1.21 טרה-בייט.
אפליקציות ושירותי VPN מתיימרים לתת לגולשים אבטחה משופרת בעת הגלישה ברשת, באמצעות הצפנת וניתוב הגלישה שלהם דרך שרתים אחרים, שלרוב יושבים במדינה אחרת, וכך להסתיר את פרטי הגלישה מפני ספקית האינטרנט או גורמים אחרים. בנוסף, השירותים מסתירים את כתובת ה-IP האמיתית של הגולש, ומקשים על אתרים שבהם הוא מבקר לעקוב אחריו. פועל יוצר של שימוש בשירותי VPN הוא החלפת המדינה שממנה מגיע המשתמש במדינה אחרת (שבה יושב שרת ה-VPN), ובמקרים רבים גולשים משתמשים בשירותים אלו על מנת לגשת לשירותים שלא זמינים במדינתם או כדי לצפות בתכנים שאינם זמינים במדינתם בשירותים כמו נטפליקס.
אפליקציות ה-VPN שסבלו מהפרצה מקדמים את עצמם ככאלו שלא שומרים תיעוד של פעילות המשתמשים והאתרים שהם גלשו אליהם, וכן טוענים ליכולות אבטחת מידע "ברמה צבאית". "ואולם, זה נוגד את מה שמצאנו במחקר שלנו", נכתב בדו"ח שפרסמו החוקרים "ראינו רישומי פעילות מפורטים מכל VPN, שחשפו מידע אישי ופעילות גלישה של משתמשים, וסיסמאות לא מוצפנות, משהו שרק לעתים נדירות קיים במוצרי אבטחה ברמה צבאית". מידע נוסף שנחשף כולל כתובות אימייל, כתובות IP, מען בבית ודגם הטלפון של המשתמש.
לדברי החוקרים, לכל אורך החקירה השרת שזיהו היה פעיל והתעדכן בקביעות. "מצאנו רשומות – לא מוצפנות – שכללו כתובות אימייל וסיסמאות של משתמשים, בקשות לשינוי סיסמה, וניסיונות התחברות כושלים", הם כתבו. "שרת ה-VPN שהשתמשים התחברו אליו גם היה חשוף. זה הופך את שירות ה-VPN למיותר, שכן נחשפת כתובת ה-IP המקורית של המשתמש וניתן לחבר אותה להיסטוריית הגלישה שלו". מדובר בחשיפה בעייתית במיוחד במקרים שבהם, למשל, גולשים מבקרים באתרים שהגלישה אליהם אסורה במדינתם, כמו גולשים מאיראן שביקרו באתרי פורנו".
בנוסף נמצאו התכתבויות משתמשים עם שירות הלקוחות של האפליקציות, ובהן תלונות על העדר תמיכה מספקת או חיוביים שגויים. כן נחשף מידע ממערכות פנימיות של מפעילת האפליקציות.
לדברי החוקרים, המידע שנחשף יכול להעמיד משתמשים בפני מגוון סיכונים, ובהם מתקפות פישינג, הונאה, ניסיונות סחיטה ואיומים ואפילו מאסר. "רבים ממיליוני משתמשים ה-VPN שנחשפו חיים במדינות עם משטרים מדכאים ואלימים, כמו איראן וסודאן", הם הסבירו. "בשמירת הפעילות המקוונת ופרטי המשתמשים שירותי VPN אלו בגדר במשתמשים הפגיעים ביותר וחשפו אותם לסכנה גדולה. לו היו הרישומים דולפים רשת, המשטרים יוכלים היו להשתמש בהם כדי לעצור, לתבוע ולאסור משתמשים".
ב-vpnMentor, שפעילותה מתבססת על סקירה וקידום של שירותי VPN בתשלום, מודעים לכך שבפרסום מידע על פרצה בשירותי VPN חינמיים יכול להיות משום ניגוד עניינים, אך אומרים בהקשר זה: "vpnMentor הוא אתר השוואות של שירותי VPN. צוות החוקרים עצמאי לצוות המסחרי כך שגם שירותים שפירסמו באתר בתשלום, הופיעו במחקרים קודמים כאשר זוהו פרצות בקרבם". כן מציינים שם שפרסום מידע כזה למעשה פוגע גם בהם, שכן הוא מעורר בקרב משתמשים חשש כללי משימוש בשירותי VPN, כאשר לרוב הם לא זוכרים האם מותג כלשהו הוא בעייתי או לא.
אף שהפרצה זוהתה ודווחה למפעילי השירותים כבר ב-5 ביולי, היא נסגרה רק מוקדם יותר היום (ד'). vpnMentor וכמה כלי תקשורת פנו לשירותים ולמפעילים השונים בבקשת תגובה. המעטים שהגיבו, ובהם UFO VPN ו-Mobipotato, מסרו: "בעקבות שינוי כוח אדם שנגרמו בגלל קוביד-19, לא מצאנו את הבאגים בשרת הפיירוול באופן מיידי, מה שהוביל לסיכון לפרצה. הם תוקנו. אנחנו לא אוספים ומאחסנים מען פיסי של משתמשים. כל המידע שנאסף הוא אנונימי ומשמש רק לניתוח ביצועי הרשת ובעיות לשיפור איכות השירות.
"עם זאת, חלק מהמשוב ששולחים משתמשים כולל אימייל והמספר מאוד קטן, פחות מ-1% מהמשתמשים. 'סיסמאות לא מוצפנות' הן לא סיסמאוות להתחברות לחשבון. אלו כנראה טוקנים להתחברות לשרתי VPN, ואני אוספים משוב ממשתמשים כדי לבדוק אם נעשה שימוש בטוקן שגוי. אנחנו קוראים לזה 'סיסמאות' במשוב ומאחסנים בצורה לא מוצפנת. כל סיסמאות ההתחברות לחשבון מוצפנות". לדברי חוקרי vpnMentor הצהרה זו אינה נכונה.