Allt fler väljer att nyttja VPN-teknik för att kunna surfa anonymt, låsa upp tv-plattformar samt fildela utan att lämna spår efter sig. Den första aspekten, dvs. anonymiteten, garanteras av VPN-företag som inte sparar några känsliga loggar.
Nu rapporterar VPNMentor om att sju VPN-tjänster har läckt användardata, som bland annat härrör kundernas personuppgifter samt information om vilka webbsidor de valt att besöka. Samtliga VPN-tjänster som drabbades av läckan hävdade att de var loggfria, men så var bevisligen inte fallet.
Säkerhetsforskaren Noam Rotem har sagt följande till The Register:
”Each of these VPNs claims that their services are ’no-log’ VPNs, which means that they don’t record any user activity on their respective apps,” Rotem’s team said. ”However, we found multiple instances of internet activity logs on their shared server. This was in addition to the personally identifiable information, which included email addresses, clear text passwords, IP addresses, home addresses, phone models, device ID, and other technical details.”
Mer specifikt har känsliga data motsvarande 1.2 GB läckt ut från VPN-operatörerna UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN samt Rabbit VPN, och samtliga av dessa ägs av det Hongkong-baserade moderföretaget Dreamfii HK Limited.
UFO VPN beskrivs vara den största VPN-tjänsten, med deras 20 miljoner kunder. De fem övriga VPN-tjänsterna rapporteras vara kloner, som nyttjar exakt samma resurser som UFO VPN, menar en annan säkerhetsforskare, Kenneth White:
”In this case, the effects are even more widespread because of a common industry practice called white labeling, in which smaller VPN providers rebrand a larger service and piggy back on their network, infrastructure, and software. In this case, there seem to be at least seven VPN providers whose customer data was leaked, completely contrary to their marketing claims of ’no logging.'”
Säkerhetsbristerna var fundamentala
UFO VPN menade att effekterna av Coronapandemin, med efterföljande personalbrist, lett till att en bugg inte uppmärksammats i VPN-företagets databas. Men den bortförklaringen är dyrköpt, då lösenord sparades i klartext, och följande loggar kunde urskiljas:
- Uppkopplingsloggar (IP-loggar)
- Trafikloggar
- DNS-förfrågningar
- GPS-data
- Enhetsinformation
- Enhets-ID
Hur bör användarna reagera?
För det första bör du byta VPN-tjänst, då du inte kan lita på ett VPN-företag som sparar känsliga loggar, och dessutom struntar i att kryptera den databas som har som uppgift att skydda tidigare nämnda uppgifter.
För det andra bör du byta lösenord på samtliga av de webbtjänster som delar inloggningsinformation med någon av de osäkra VPN-tjänsterna.
De VPN-användare som surfar från länder likt Kina och Iran, vari VPN-tekniken är olaglig, riskerar även att arresteras och kastas i fängelse.
Har känsliga uppgifter läckts?
Ja, men de läckta uppgifterna finns förmodligen inte tillgängliga för allas beskådan. De känsliga uppgifter som nämns i artikeln kan vara skyddade eller förstörda, då så kallade ”etiska hackare”, som aldrig sprider känsliga uppgifter, stod för säkerhetspenetreringen.
VPN-företagen bör även ha täppt igen det säkerhetshål som samma hackare använde för att få tillgång till den osäkra databasen. Men om hackare med onda avsikter hann först, kan en stor databasdump vara att vänta på TOR-nätverket inom kort.
Vilken VPN kan man lita på?
De bästa VPN-tjänsterna sparar inga känsliga loggar. Bland dessa VPN-företag återfinns bland annat CyberGhost(recension), ExpressVPN(recension) och Surfshark(recension), som alla har utfört säkerhetsrevisioner, där oberoende säkerhetsföretag bekräftat att de inte sparar mer information än vad som krävs för att deras tjänster ska fungera.
Gratis-VPN-tjänsterna är inte säkra, det har vi fått ytterligare ett bevis på. Säkerhetstänket är minimalt, och i många fall utnyttjar de din data, inklusive dina personuppgifter, för att skapa skumma reklamprofiler, som säljs vidare till reklambolag.
Tillägg: Tack för tipset Juha.