無料VPNサービスはやっぱりいいかげんだった!
Google Playで公開されているVPNアプリがDNSリークを起こしていたことをメモに残していますが、今回は、保存されないはずの無料VPNアプリの個人情報が流出していたことがわかりました。
スラド、2020年07月21日の投稿を引用します。
VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある(Digital Trends)。
各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。
Google Playで公開されているフリーで利用することができる VPNアプリをテストしたところ、少なくとも90%のアプリでプライバシーとセキュリティを危うくする問題を検出したそうです。
kzstock.blogspot.com根本は同一の会社
7つの無料VPNサービスからデータが流出しましたが、支払いに関しては同じIPアドレスを持つ香港の会社だったそうです。記事では「ホワイトラベル」って書いてありましたが、OEMとかMVNOのようなビジネスモデルだったんですかね?
支払先が同一企業だったならOEMやMVNOではないような...?
「西早稲田2-3-18」的なあやしい雰囲気ですね。
[流出したデータ]
- ブラウジングログ ← エロサイトの閲覧履歴がダダ洩れ
- 口座名義人支払人の氏名、住所
- 接続元IP
- ログイン認証情報(メール、ユーザー名、パスワード)
- 有料版利用者のビットコインの支払い情報
- PayPalのURL
- ...etc
[データが流出したサービス]
- UFO VPN
- FAST VPN
- Free VPN
- Super VPN
- Flash VPN
- Secure VPN
- Rabbit VPN
[支払先]
- Dreamfii HK(この一社に集約されていた)
懸念されること
エロサイトのアクティビティは深刻ではありませんが、政治が絡むと深刻です。[懸念事項]
- フィッシング詐欺
- 「恥ずかしいアクティビティを第三者にさらすぞ」との恐喝
- 漏洩した情報がダークウェブに残る、共有される
- 暴力的な政府による逮捕、拘留、投獄の根拠として利用される
まとめ
[流出事故]- 少なくとも7つの無料VPNサービスでデータ流出事故が起きた
- ユーザー情報とそれに紐づくアクティビティ(接続先情報)が流出した
- 請求先は同じ1つの企業だった
- 恐喝や政治的なことに利用される懸念がある
外国では当たり前
日本はグレートファイアウォールがないので、VPNは一般的ではないと思います。中国からGoogleに繋げないからVPN経由でGoogleに接続するなどの用途でVPNが使われています。
政治的に制限の強い国ではVPNアプリは必須と言われているので、接続先情報が漏れたことは大問題になりそうです。
香港の会社なので意図的かもね・・・
External link
このサイトを検索 | Search this site
![en[EVENT131] Metadata staging failed](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbs_msUKZLXTDaVteZjV5ArZ81T5bssP-FzmGA4DS0Z_dUZvgX9mWFkyF-3lHlicLk2TttAC5q2QunMSDeCYpYJAzk1Ghmj5KeZhDBCPGayeNyuq9C78mizcxzI84AvFw28Z258Tz5_HSO/w680/WinR300px.png)
![[EventId 131] メタデータステージングが失敗しました (DeviceSetupManager)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiN6dqRB2WfXdfAKB10FDjdJ2p22frW5ahcNd07xf7-Dux9uDfiM1RGf7v6iO-QRooVfr3FsZNkpRKcO8Or0JcmQeJ5ud_ns3dfE7tQwoVZB2bsZbTKUaxVjG_CqSTho3hre6kT7T4mOBGz/w680/redyellow_317x.gif)
ブロトピ:今日のブログ更新