Aplicativo de VPN expõe volume com 360 milhões de dados de usuários
25 de Maio de 2023

Um volume contendo mais de 360,3 milhões de dados de usuários do aplicativo SuperVPN estava disponível na internet sem proteção, podendo ser acessado por qualquer pessoa.

Entre as informações estavam endereços de e-mail, IP, geolocalização, registros de servidores para redirecionamento de tráfego e links de sites acessados pelos usuários da plataforma.

O software gratuito, disponível em versões para iOS e Android, acumula mais de 100 milhões de downloads somente na loja oficial do Google, constituindo uma das opções de VPN gratuitas mais populares da plataforma.

Não foi possível saber se informações de brasileiros estavam na exposição, mas é possível que sim, já que a quantidade de registros disponíveis no volume exposto também corresponde a uma bela fatia do total de utilizadores da solução.

Entre os 113 GB de informações disponíveis também estavam segredos de aplicação, identificadores individuais dos usuários e informações sobre o aparelho usado para acesso, bem como sistema operacional e o tipo de conexão usada, entre Wi-Fi ou dados celulares.

Além disso, o pesquisador Jeremiah Fowler, da vpnMentor, apontou para a presença de registros financeiros em meio ao vazamento.

Ainda que dados de cartão de crédito e outras informações de pagamento não estejam disponíveis, foi possível acessar registros de assinatura e reembolso relacionados ao uso do aplicativo, que fornece VPN gratuita ao lado de opções pagas com mais recursos e menos restrições de acesso.

Fowler explicou que, embora as VPNs sejam criadas para dar um maior grau de privacidade e segurança no uso da web, elas não são imunes a falhas de segurança e podem ser alvo de vazamentos.

Caso o provedor do serviço colete ou armazene registros de uso, eles podem comprometer os clientes caso tais informações sejam expostas ou possam ser acessadas publicamente.

O servidor mal configurado da SuperVPN trouxe as informações disponíveis a quem o localizasse na internet.

De acordo com Fowler, a empresa responsável pela solução não respondeu ao contato e nem mesmo confirmou que os dados efetivamente pertenciam a ela, mas o acesso foi fechado apenas dias depois da notificação inicial, o que indica que seus administradores foram notificados sobre o problema.

Fowler indica ainda uma falta de transparência e clareza de informações em relação aos responsáveis pela aplicação, que usam nomes diferentes de desenvolvedor em suas versões iOS e Android.

De origem chinesa, a SuperVPN também traria termos de uso considerados “preocupantes”, com elementos ambíguos e pouca clareza.

Os especialistas alertam para contratos de privacidade ambíguos e a falta de clareza sobre a origem do desenvolvedor ao escolher uma VPN, principalmente gratuita.

O ideal é buscar fornecedores reconhecidos e renomados, que tenham boa reputação na indústria de tecnologia e não estejam envolvidos em escândalos de segurança e privacidade.

Fornecedoras renomadas de antivírus, por exemplo, costumam oferecer soluções de VPN.

Na hora de escolher, também vale a pena procurar pela existência de criptografia forte e bons recursos de segurança, enquanto comentários de usuários e análises na imprensa também podem fornecer mais detalhes sobre as soluções antes que a privacidade dos usuários seja colocada em risco.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...