ブログ

「ゼロログ」VPN はユーザーのパスワードを含む数百万のログを公開、データは匿名であると主張

UFO VPN



香港を拠点とする VPN プロバイダー UFO VPN は、アクセスに必要なパスワードやその他の認証を必要とせずに、ユーザー ログと API アクセス記録のデータベースを Web 上に公開しました。流出した情報には、平文のパスワードや、VPN ユーザーの識別やオンライン アクティビティの追跡に使用される可能性のある情報が含まれます。

Comparitech のセキュリティ研究チームを率いる Bob Diachenko 氏は、UFO VPN の無料ユーザーと有料ユーザーの両方に影響を与えるこの暴露を明らかにしました。同氏は2020年7月1日にデータの流出を発見すると、ただちに同社に通報した。



2020 年 7 月 21 日の更新:流出したデータは保護された後、7 月 20 日に別の IP アドレスで再度出現しました。このデータセットは、UFO VPN によって 2 度目に公開されたものと思われますが、さらに規模が大きく、7 月 19 日までの最新の記録が含まれています。

何人のユーザーが影響を受けるかは明らかではありませんが、私たちの調査結果は、暴露時に UFO VPN に接続していたすべてのユーザーが危険にさらされる可能性があることを示唆しています。 UFO VPN は、Web サイトに 2,000 万人のユーザーがいると主張しており、データベースでは 1 日あたり 2,000 万件以上のログが公開されていました。



私たちがUFO VPNに開示情報を送ってから2週間以上が経ち、同社はデータベースをシャットダウンし、電子メールで次のように返答した。ハッキングされる潜在的なリスク。そして今、それは修正されました。」

「登録のための情報は一切収集しておりません」と広報担当者は述べた。 「このサーバーでは、収集されたすべての情報は匿名であり、サービス品質を向上させるためにユーザーのネットワークパフォーマンスと問題を分析するためにのみ使用されます。今のところ情報は漏洩していない。」 [原文どおり]

しかし、いくつかのサンプル データに基づくと、このデータが匿名であるとは考えられません。私たちは調査結果を確認するために UFO VPN に連絡しており、それに応じてこの記事を更新します。

UFO VPN ユーザーには直ちにパスワードを変更することをお勧めします。同じパスワードを共有する他のアカウントについても同様です。

暴露のタイムライン

データベースは合計でほぼ 3 週間にわたって暴露されました。私たちが知っていることは次のとおりです。

  • 2020 年 6 月 27 日: データをホストしているサーバーが、検索エンジン Shodan.io によって最初にインデックス付けされました。
  • 2020 年 7 月 1 日: ディアチェンコは流出したデータを発見し、直ちに UFO VPN に通知しました。
  • 2020 年 7 月 14 日: ディアチェンコはホスティングプロバイダーに通知
  • 2020年7月15日:データベースを確保しました。
  • 2020 年 7 月 20 日: データベースは 7 月 19 日のデータで 2 度目に暴露されました。
  • 2020 年 7 月 20 日: 2 番目に公開されたデータセットが攻撃され、ほぼすべてのレコードが「Meow」ボット攻撃によって破壊されました。新たに追加されたレコードのみが残りました。

ufo vpn 2 回目の暴露

データが公開されている間に、権限のない第三者がデータにアクセスしたかどうかはわかりません。私たち自身の調査によると、 ハッカーは、データベースが脆弱になってから数時間以内にデータベースを見つけて攻撃することができます。

どのようなデータが流出したのでしょうか?

ufo vpn 暴露

894 GB のデータが、セキュリティで保護されていない Elasticsearch クラスターに保存されました。 UFO VPN はデータは「匿名」であると主張しましたが、手元にある証拠に基づくと、ユーザー ログと API アクセス記録には次の情報が含まれていると考えられます。

  • 平文のアカウントパスワード
  • VPN セッションのシークレットとトークン
  • ユーザーデバイスと接続先の VPN サーバーの両方の IP アドレス
  • 接続タイムスタンプ
  • 地理タグ
  • 端末とOSの特徴
  • 無料ユーザーの Web ブラウザに広告が挿入されるドメインであると思われる URL

この情報の多くは、次のように規定されている UFO VPN のプライバシー ポリシーと矛盾しているようです。

「当社は、当社サイト外でのユーザーの活動を追跡したり、当社のサービスを使用しているユーザーのウェブサイトの閲覧や接続活動を追跡したりすることはありません。」

UFO VPN のプライバシー ポリシーをご覧ください。 ここ

データ漏洩の危険性

悪意のある者がデータが保護される前にデータを入手できた場合、UFO VPN ユーザーにいくつかのリスクが生じる可能性があります。

プレーンテキストのパスワードは、最も明白で直接的な脅威です。ハッカーはこれらを使用して UFO VPN アカウントをハイジャックするだけでなく、他のアカウントに対してクレデンシャル スタッフィング攻撃を実行できる可能性があります。複数のアカウントで同じパスワードが使用されている場合、それらはすべて侵害される可能性があります。

IP アドレスは、ユーザーの居場所を特定し、オンライン活動を裏付けるために使用される可能性があります。 VPN は、ユーザーの実際の場所やオンライン活動を隠すためによく使用されます。

セッション シークレットとトークンは、攻撃者がキャプチャした可能性のあるセッション データを復号化するために使用される可能性があります。たとえば、攻撃者が、侵害された Wi-Fi ネットワーク上の VPN 経由で送信されている暗号化データを傍受した場合、この情報を使用してそのデータを復号化する可能性があります。

電子メール アドレスは、カスタマイズされたフィッシング メッセージや詐欺でユーザーをターゲットにするために使用される可能性があります。

この暴露は、セキュリティとプライバシーの基準が標準以下である傾向にある無料の VPN サービスを避けるよう読者に定期的に推奨している理由を示しています。理想的には、VPN サービスは IP アドレスを含むログを保持すべきではありません。

UFO VPNについて

UFO VPN は香港を拠点とする VPN プロバイダーで、Web サイトで 2,000 万人のユーザーにサービスを提供しているとのことです。ゼロログポリシーと「銀行グレードの保護」があると主張していますが、おそらくそうではありません。

同社は無料プランと有料プランの両方を提供しています。

UFO VPN のマーケティングの焦点は、コンテンツのブロックを解除することです。これは、ブロックされた Web サイト、アプリ、Netflix などの地域ロックされたストリーミング サービスへのアクセスを約束します。

以下のリストをご覧ください。
  • 最高のVPN
  • 最高のウイルス対策ソフトウェア
  • 最高の個人情報盗難防止

この暴露を報告した方法と理由

セキュリティ研究者のボブ・ディアチェンコ氏は、コンパリテックのセキュリティ研究チームを率い、個人データがウェブ上に公開されたインシデントを見つけて報告しています。保護されていないデータを発見した場合、私たちは直ちに所有者に通知する措置を講じ、できるだけ早く保護できるようにします。

私たちはこのようなデータ インシデントを調査して、データが誰に属するか、誰が影響を受ける可能性があるか、どのような情報が公開されるか、その結果どのような結果が生じる可能性があるかを把握します。データが保護されたら、影響を受ける可能性のあるユーザーに通知し、意識を高めるために、このようなレポートを公開します。

私たちの目標は、個人データの悪意のあるアクセスと悪用を抑制することです。私たちは、このレポートがサイバーセキュリティの意識を高め、エンドユーザーに及ぶ可能性のある被害を最小限に抑えることができることを願っています。

以前のデータ インシデント レポート

Comparitech と Diachenko は提携して、以下を含むいくつかのデータ漏洩事件について報告しています。

^