IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Journaliste
    Inscrit en
    Janvier 2020
    Messages
    196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Journaliste
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2020
    Messages : 196
    Points : 13 695
    Points
    13 695
    Par défaut Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs
    Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs,
    via un serveur Elasticsearch non sécurisé

    Les VPN gratuits, qui permettent de naviguer anonymement sur Internet en utilisant des adresses IP différentes de celle de l'utilisateur, ne sont pas si sûrs que ça à en croire un rapport édité par des chercheurs de vpnMentor. En effet, ce dernier a découvert l'existence d'une faille de sécurité dans sept d'entre eux, provoquant la fuite de données de 20 millions d'utilisateurs. Ces données pourraient être facilement utilisées par les hackers pour mener des activités malveillantes visant leur propriétaire, telles que des attaques de phishing ou des piratages.

    Les VPN concernés sont : UFO VPN, VPN Fast, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN. Ils prétendent tous ne pas enregistrer l'activité des utilisateurs sur leurs applications respectives.

    Nom : VPN VPN.PNG
Affichages : 37960
Taille : 88,3 Ko

    Ayant plusieurs points communs, ces sept VPN auraient été conçus par un seul développeur d'applications, suggèrent les chercheurs. En effet, ils ont laissé les données personnelles de leurs utilisateurs sur un serveur Elasticsearch complètement ouvert et accessible à tout le monde. De plus, ils sont tous basés à Hong Kong. Ils ont également un seul bénéficiaire pour les paiements, la société Dreamfii HK Limited. En outre, trois des VPN partagent une marque presque identique sur leurs sites Web.

    Les données exposées

    D'après le rapport, les données étaient toujours exposées durant l'enquête. Les chercheurs ont même constaté des entrées récentes.

    Les données enregistrées dans le serveur Elasticsearch sont :

    • les adresses e-mail des utilisateurs et leurs mots de passe ainsi que les demandes de changement de mot de passe ;
    • l'activité des et les appareils utilisés tels que les journaux de connexion, l'historique de navigation, l'adresse IP d'origine, le type d'appareil ou le fournisseur d'accès Internet ;
    • les informations relatives au compte Paypal des utilisateurs ainsi que les identifiants des titulaires de comptes de cryptomonnaie ;
    • les entrées de données marquées Huawei ;
    • des données personnelles identifiables (noms complets, adresse personnelle ou professionnelle, adresse IP d'origine et adresse IP du serveur VPN auquel l'utilisateur s'est connecté, identifiants de connexion au compte VPN).

    Au total, plus d'un milliard d'enregistrements, pesant 1,207 téraoctet et appartenant à plus de 20 millions d'utilisateurs ont été exposés.

    L'un des VPN gratuits s'explique

    Contacté par vpnMentor, l'équipe d'UFO VPN a répondu :

    • « En raison des changements de personnel provoqués par COVID-19, nous n'avons pas trouvé immédiatement de bogues dans les paramètres du pare-feu du serveur, ce qui entraîne le risque potentiel d'être piraté. La faille est actuellement corrigée » ;
    • «  Temps de risque potentiel : 29 juin - 13 juillet » ;
    • « Nous ne collectons pas et ne restaurons pas les adresses personnelles des utilisateurs. Dans ce serveur, toutes les informations collectées sont anonymes et ne sont utilisées que pour analyser les performances et les problèmes du réseau de l'utilisateur afin d'améliorer la qualité du service. Certains feedbacks envoyés par les utilisateurs eux-mêmes contiennent des courriels, cependant, le nombre est très faible, moins de 1 % de nos utilisateurs » ;
    • « Les mots de passe en texte clair ne sont pas le mot de passe pour se connecter à leurs comptes. Ce doivent être les jetons pour connecter les serveurs VPN, et nous les recueillons dans les commentaires des utilisateurs pour vérifier si le mauvais jeton est appliqué. Nous l'appelons « mot de passe » dans les commentaires et le stockons en clair. Mais pour les comptes d'utilisateurs et les mots de passe de connexion, nous les avons tous cryptés lors du transfert et du stockage ».

    Par ailleurs, vpnMentor conseille aux utilisateurs de redoubler de vigilance dans le choix d'un fournisseur VPN pour éviter des fuites de données. Cette faille de sécurité est en effet à prendre au sérieux puisque les données exposées peuvent être utilisées par des individus malveillants pour mener des campagnes de phishing très efficaces. De plus, les informations relatives aux comptes de monnaie électronique pourraient suffire aux hackers pour voler l'argent appartenant à son propriétaire.

    « Si l'un des stratagèmes criminels décrits ci-dessus réussissait, l'impact sur la vie personnelle et le bien-être financier d'une victime pourrait être dévastateur, surtout en cas de pandémie mondiale, avec tant d'incertitude, de chômage croissant et de récession imminente », alerte vpnMentor.

    Source : vpnMentor

    Et vous ?

    Utilisez-vous un de ces VPN gratuits ? Si oui, qu'est-ce que vous envisagez de faire suite à la détection de cette faille ?
    Quel est votre avis sur les VPN gratuits et du niveau de sécurité qu'ils garantissent ?

    Voir aussi :

    COVID-19 : l'utilisation des VPN explose suite à une hausse considérable du télétravail, ainsi que de l'utilisation des services de divertissement qui appliquent des restrictions géographiques
    90 millions d'enregistrements de données personnelles divulgués sur Internet par la Chine, via un serveur ElasticSearch non sécurisé
    Nombreux sont les produits VPN qui semblent être distincts mais sont tous gérés par la même poignée d'entreprises, d'après une enquête
    Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées, via une base de données Elasticsearch non sécurisée
    « Une erreur a été commise dans le paramétrage de la sécurisation des accès du serveur », explique le Figaro à propos d'une fuite de 8 To de données, dont celles d'abonnés et de journalistes
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    1 757
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 1 757
    Points : 5 664
    Points
    5 664
    Par défaut
    ...ces sept VPN auraient été conçus par un seul développeur d'applications, suggèrent les chercheurs. En effet, ils ont laissé les données personnelles de leurs utilisateurs sur un serveur Elasticsearch complètement ouvert et accessible à tout le monde. De plus, ils sont tous basés à Hong Kong. Ils ont également un seul bénéficiaire pour les paiements, la société Dreamfii HK Limited. En outre, trois des VPN partagent une marque presque identique sur leurs sites Web.
    Magnifique, ce monde du politiquement correct!

    On a donc un seul produit d'une seule source qui présente son "oeuvre" sous 7 noms différents pour faire croire au "pigeon" qu'il a le choix entre différentes solutions... Il s'agit là tout simplement d'une tromperie!

    Il est utile parfois de ne pas cacher la m... derrière son petit doigt!!!

  3. #3
    Membre émérite Avatar de Cpt Anderson
    Profil pro
    Développeur informatique
    Inscrit en
    Novembre 2005
    Messages
    624
    Détails du profil
    Informations personnelles :
    Âge : 49
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Novembre 2005
    Messages : 624
    Points : 2 479
    Points
    2 479
    Par défaut
    Citation Envoyé par Anselme45 Voir le message
    Magnifique, ce monde du politiquement correct!

    On a donc un seul produit d'une seule source qui présente son "oeuvre" sous 7 noms différents pour faire croire au "pigeon" qu'il a le choix entre différentes solutions... Il s'agit là tout simplement d'une tromperie!

    Il est utile parfois de ne pas cacher la m... derrière son petit doigt!!!
    Dans le même ordre d'idée, tu as une doctrine dominante qui est le mondialisme et plusieurs partis politiques qui ont tous des noms différents et qui poussent tous vers cette "religion", en faisant croire aux gens lors des élections qu'ils ont le choix. Si ca c'est pas une tromperie...
    Voici la méthode de mon chef:

    copy (DateTimeToStr(Now),7,4)+
    copy (DateTimeToStr(Now),4,2)+copy (DateTimeToStr(Now),1,2)+copy (DateTimeToStr(Now),12,2)+
    copy (DateTimeToStr(Now),15,2)+copy (DateTimeToStr(Now),18,2)

    Je lui ai dit que FormatDateTime irait surement mieux


  4. #4
    Candidat au Club
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Avril 2012
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Boutique - Magasin

    Informations forums :
    Inscription : Avril 2012
    Messages : 2
    Points : 3
    Points
    3
    Par défaut Beaucoup de "diagnostics" ... mais que proposez-vous comme solutions concrètes ?
    Oui, merci de découvrir que l’on vit dans monde "bizarre" mais que proposez-vous comme solutions concrètes pour en sortir ? Ou, au moins, essayer ?

Discussions similaires

  1. XAgent : un malware qui dérobe les données personnelles sous iOS
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 0
    Dernier message: 05/02/2015, 13h16
  2. Service de messager respectant les données personnelles
    Par LinuxUser dans le forum Internet
    Réponses: 0
    Dernier message: 23/08/2013, 21h37
  3. Réponses: 1
    Dernier message: 08/10/2010, 18h49
  4. Modifier les données personnelles sur PHP Yellow Pages
    Par aRKhamTaro dans le forum Certifications
    Réponses: 2
    Dernier message: 10/07/2009, 10h41
  5. [EasyPHP] Répertoire pour les données personnelles
    Par Mathieu72 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 5
    Dernier message: 07/09/2008, 02h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo