20 Milyon VPN Kullanıcısının Verisi Sızdırıldı
Bir grup ücretsiz VPN servisine ait 20 milyondan fazla kullanıcının kişisel verilerinin savunmasız bir şekilde barındırıldığı tespit edildi.
Siber güvenlik araştırmacıları, bir grup ücretsiz VPN servisine ait 20 milyondan fazla kullanıcının kişisel verilerinin savunmasız bir şekilde barındırıldığını tespit etti.
Noam Rotem liderliğindeki vpnMentor araştırmacıları, 5 Temmuz'da ortak bir geliştiriciye sahip olduğu düşünülen "UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN" adlarına sahip bir grup VPN servisinin ortak sunucusunun herkese açık olarak durduğunu keşfetti.
Araştırmacılar, sunucuyu keşfettikten sonra verilerin kaydolduğu veritabanının güncel olup olmadığını test etmek amacıyla, sunucuda kayıtları bulunan UFO VPN'in uygulamasını indirdiklerini ve kullandıklarını, ardından söz konusu veritabanını incelediklerini ve burada kendilerine ait e-posta adresi, konum, IP adresi gibi bilgilerin bulunduğunu gördüklerini ayrıca veritabanındaki kayıtlar arasında, uygulamayı kullanmak için oluşturdukları kullanıcı adını ve parolayı düz metin olarak gördüklerini söyledi.
Yapılan bu testin ardından araştırmacılar, 5 Temmuz'da söz konusu VPN servislerinin arkasındaki dört şirket ile (Dreamfii HK Ltd = UFO VPN, Mobipotato HK Limited = FAST VPN, Starxmobi HK Ltd = Free VPN, Nownetmobi = Super VPN) iletişime geçti ve Mobipotato'dan hızlı bir geri dönüş aldı. Ancak şirket bu geri dönüş mesajında, bahsedilen sızıntının farkında olmadıklarını ve araştırmacıların tam olarak neyden bahsettiklerini anlamadıklarını söyledi.
Araştırmacılar her ne kadar iki kez daha iletişime geçmeye çalışsa da şirket herhangi bir geri dönüş yapmadı. Daha sonra araştırmacılar, 7 ve 9 Temmuz'da Dreamfii ile iletişime geçmeye çalıştı ve ayrıca 8 Temmuz'da HKCERT ile iletişime geçti.
13 Temmuz'da HKCERT'den bir yanıt alan araştırmacılar, Dreamfii ile tekrar iletişim kurmak için iki deneme daha gerçekleştirdi ve araştırmacılara doğrudan yanıt verilmese de vpnMentor araştırmacılarına şirketlerle iletişime geçme konusunda yardımcı olan bazı gazetecilere yanıt verildi.
Tüm bu iletişim kurma çabaları sonucunda 15 Temmuz'da söz konusu sunucunun güvenli hale getirildiğini belirten araştırmacılar, "Araştırmamız boyunca, söz konusu sunucu hâlâ canlıydı ve son kayıtlar loglara dahil edildi" dedi.
Keşfedilen sunucuda barındırılan 1.207 TB boyutundaki veriler, 1,083,997,361 kayıttan oluşuyordu ve bu 20 milyondan fazla kullanıcıya ait;
- Ad-soyad
- Ev veya iş yeri adresi
- VPN hesabı giriş bilgileri (e-posta, kullanıcı adı ve parola)
- Bağlantı logları, trafik ve ziyaret edilen siteler
- Kaynak IP adresi
- İnternet servis sağlayıcısı (ISP)
- Gerçek konum
- Cihaz tipi
- Cihaz ID'si
- Uygulama sürümü
- Telefon modeli
- Ağ bağlantısı hakkında bilgiler
gibi verilerden oluşuyordu.
VpnMentor araştırmacıları, "ElasticSearch sunucusu aracılığıyla maruz kalan PII (Personally Identifiable Information - Kişisel Kimlik Bilgileri) verilerini kullanarak, hackerlar ve siber suçlular, olaydan etkilenen VPN uygulamalarının kullanıcılarını hedefleyen çok etkili phishing kampanyaları oluşturabilir" dedi.
Ayrıca araştırmacılar, bir VPN servisinin asla kullanıcının etkinliğini kaydetmemesi gerektiğini ancak bahsi geçen VPN servislerinin bunu yaptığını ve kullanıcıların güvenliğini tehlikeye attığını söyledi.
Bu araştırmayı bizimle paylaşan vpnMentor'dan Lisa Taylor'a teşekkür ediyoruz.
Yorumlar