Quando se fala em segurança de comunicações é normal falarmos em VPNs. Através de uma VPN é possível comunicar de forma segura através de um canal inseguro como é o caso da internet.
No entanto, além da tecnologia VPN, há empresas a manterem dados dos utilizadores. Um relatório citado hoje pela empresa de cibersegurança ESET revela que sete serviços de VPN foram alvo de uma fuga de dados. Saiba quais foram.
O que é uma VPN?
Uma VPN é:
- Virtual– informação para uma rede privada é transportada “em cima” de uma rede
- Privada– A comunicação é cifrada, de forma a manter a confidencialidade dos dados entre o emissor e o recetor.
Quando um utilizador estabelece uma ligação VPN é criado um canal de comunicação seguro, usando técnicas de criptografia e autenticação, permitindo assim a troca confiável de dados sobre redes públicas (por exemplo, um vendedor estando ligado à Internet, pode estabelecer uma VPN para a empresa e assim aceder ao sistema interno de stocks/encomendas, como se estivesse fisicamente ligado a rede local da empresa, para consultar ou registar algum tipo de informação de uma forma segura).
Mais de 20 milhões de dados de utilizadores foram roubados
Os serviços afetados são:
- UFO VPN
- FAST VPN
- FREE VPN
- SUPER VPN
- Flash VPN
- Secure VPN
- Rabbit VPN
Por uma questão de segurança e privacidade, os serviços referidos não mantêm registos (“logs”) das atividades dos seus utilizadores. No entanto, deixaram recentemente visíveis para quem quer que quisesse ver, cerca de 1,2 terabytes de dados privados dos seus clientes.
Segundo os investigadores da vpnMEntor, os dados foram encontrados num servidor partilhado por estes fornecedores de serviços, incluía a informação pessoal identificável (“Personally Identifiable Information”, ou PII) de, potencialmente, mais de 20 milhões de utilizadores das VPNs.
Além de detalhes pessoais, que incluíam os endereços de email bem como as moradas físicas dos utilizadores, os dados expostos continham passwords (não encriptadas), endereços IP das máquinas usadas e, em muitos casos, também registos de atividade (“Internet activity logs”), o que põe em causa as políticas destes provedores, que garantem não manter nenhum registo de navegação dos seus clientes.
O relatório da vpnMentor sugere que todos estes serviços baseados em Hong Kong têm por detrás a mesma base de código.