בתקרית אבטחת סייבר גילה חוקר האבטחה ג'רמיה פאולר פגיעה משמעותית בנתונים במסד נתונים לא מוגן באמצעות סיסמה המשויך לשירות VPN פופולרי בחינם. ספק שירותי ה- VPN החינמי SuperVPN הוא אותו ספק שהדליף נתונים לקוחות במאי 2022. הפעם חשפה SuperVPN כמות עצומה של 133 GB של נתונים, כולל פרטים אישיים של המשתמשים שלה. מסד הנתונים שנחשף הכיל 360,308,817 רשומות, בגודל כולל של 133 GB. רשומות אלו כללו מגוון רחב של מידע רגיש כולל כתובות דוא"ל של משתמשים, כתובות IP מקוריות, נתוני מיקום גיאוגרפי ורשומות שימוש בשרת. בנוסף, חשפה הפרצה מפתחות סודיים, מספרי זיהוי משתמש ייחודיים ומספרי UUID, בהם ניתן להשתמש כדי לגנוב מידע שימושי נוסף. מידע נוסף שנמצא במסד הנתונים הקיף דגמי טלפונים או מחשבים, מערכות הפעלה, סוגי חיבור לאינטרנט וגרסאות יישומי VPN. יתרה מזאת, בקשות להחזר ופרטי חשבון בתשלום נכחו גם הם בדלף המידע.
בעוד ש- SuperVPN טוענת שהיא לא מאחסנת יומני משתמשים, הנתונים שדלפו מראים אחרת וסותרים את מדיניות החברה.
עם החששות הגוברים לגבי פרטיות ואבטחה מקוונים, זינק הביקוש לשירותי VPN בשנים האחרונות. כתוצאה מכך, היה השוק עד לעלייה משמעותית במספר אפליקציות ה- VPN הזמינות למשתמשים. עם זאת, הביא הזינוק הזה בהיצע לשיעור מדאיג של אפליקציות VPN שאינן אמינות ואינן מספקות רמת פרטיות ואבטחה הכרחיים. הדבר גורם לחוויית משתמש לא פרודוקטיבית, שכן היעדר פרוטוקולי אבטחה נאותים מעמיד את המידע של המשתמשים בסיכון של דלף מידע.
על פי הדוח של חברת VPNmentor היו רוב הרשומות במסד הנתונים החשוף קשורות ל- SuperVPN, אפליקציית VPN חינמית הזמינה הן בחנויות האפליקציות של אפל והן של גוגל. יתר על כן, ציינו חוקרי הסייבר שתי אפליקציות בשם SuperVPN ברשימה, שכל אחת מהן זוכה למפתחים נפרדים. Qingdao Leyou Hudong Network Technology Co הייתה המפתחת מאחורי SuperVPN עבור iOS, iPad ו- macOS, בעוד SuperSoft Tech פיתחה את האפליקציה השנייה באותו שם. עם זאת, חשוב לציין שאין זו הפעם הראשונה ש- SuperVPN הואשמה בהדלפת הפרטים האישיים של המשתמשים שלה. למעשה, כפי שדווח על ידי אתר Hackread.com במאי 2022 הייתה SuperVPN בין רשימת שירותי ה- VPN החינמיים שהדליפו פרטים של למעלה מ- 21 מיליון משתמשים. שירותי VPN חינמיים אחרים מהם הודלפו נתוני לקוחות כללו את GeckoVPN ו- ChatVPN. בסך הכל הכיל בסיס הנתונים מידע בנפח 10GB שדלפו לטלגרם.
תעשיית ה- VPN הפכה לרווחית ביותר, כאשר מיליוני משתמשים ברחבי העולם מחפשים פתרונות אמינים לשמירה על נוכחותם המקוונת. באקלים זה, נותנים מפתחים מסוימים עדיפות לרווחים כספיים על פני אבטחת המידע של המשתמשים, תוך התמקדות בפיתוח מהיר וזול, שיווק והפצה של אפליקציות VPN. כאשר בוחרים בשירות VPN חינמי, חיוני לנקוט משנה זהירות ולשקול דגלים אדומים מסוימים המעידים על סיכונים פוטנציאליים:
- מדיניות איסוף נתונים לא ברורה: יש לוודא כי שירות ה- VPN אינו רושם את פעילות האינטרנט של המשתמשים, כדי למנוע את הסיכון של מכירת נתונים למפרסמים או לצדדים שלישיים.
- חוסר שקיפות: יש לשים לב להיעדר עמוד "אודותינו" באתר הרשמי של ספק ה- VPN, מכיוון שהדבר יכול להעיד על חוסר מידע לגבי מי שמטפל בנתוני המשתמשים.
- הגנה מפני דליפות DNS: יש לוודא כי שירות ה- VPN מציע הגנה מפני דליפת DNS כדי למנוע מספק שירותי האינטרנט של המשתמשים לראות את הפעילויות המקוונות שלהם.
- הצפנה חלשה: יש להימנע מ- VPN המציעים הצפנה חלשה יותר מ- 128 סיביות או 256 סיביות AES, מכיוון שהדבר מגדיל את הסיכון לפגיעה במידע המשתמשים.
- ביקורות שליליות: יש לחפש ולקרוא ביקורות משתמשים ולהתייעץ עם אתרי ביקורות בעלי מוניטין כדי לאמוד את החוויות והחששות של משתמשים אחרים לפני בחירת שירות VPN.
