データ流出疑惑の7つのVPNサービスとは?

このサイトを検索 | Search this site

無料VPNサービスはやっぱりいいかげんだった!

Google Playで公開されているVPNアプリがDNSリークを起こしていたことをメモに残していますが、今回は、保存されないはずの無料VPNアプリの個人情報が流出していたことがわかりました。

スラド、2020年07月21日の投稿を引用します。

VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある(Digital Trends)。
各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。

Google Playで公開されているフリーで利用することができる VPNアプリをテストしたところ、少なくとも90%のアプリでプライバシーとセキュリティを危うくする問題を検出したそうです。


根本は同一の会社

7つの無料VPNサービスからデータが流出しましたが、支払いに関しては同じIPアドレスを持つ香港の会社だったそうです。

記事では「ホワイトラベル」って書いてありましたが、OEMとかMVNOのようなビジネスモデルだったんですかね?

支払先が同一企業だったならOEMやMVNOではないような...?

「西早稲田2-3-18」的なあやしい雰囲気ですね。

[流出したデータ]
  • ブラウジングログ ← エロサイトの閲覧履歴がダダ洩れ
  • 口座名義人支払人の氏名、住所
  • 接続元IP
  • ログイン認証情報(メール、ユーザー名、パスワード)
  • 有料版利用者のビットコインの支払い情報
  • PayPalのURL
  • ...etc

[データが流出したサービス]
  1. UFO VPN
  2. FAST VPN
  3. Free VPN
  4. Super VPN
  5. Flash VPN
  6. Secure VPN
  7. Rabbit VPN

[支払先]
  • Dreamfii HK(この一社に集約されていた)

懸念されること

エロサイトのアクティビティは深刻ではありませんが、政治が絡むと深刻です。

[懸念事項]
  • フィッシング詐欺
  • 「恥ずかしいアクティビティを第三者にさらすぞ」との恐喝
  • 漏洩した情報がダークウェブに残る、共有される
  • 暴力的な政府による逮捕、拘留、投獄の根拠として利用される

まとめ

[流出事故]
  • 少なくとも7つの無料VPNサービスでデータ流出事故が起きた
  • ユーザー情報とそれに紐づくアクティビティ(接続先情報)が流出した
  • 請求先は同じ1つの企業だった
  • 恐喝や政治的なことに利用される懸念がある

外国では当たり前

日本はグレートファイアウォールがないので、VPNは一般的ではないと思います。

中国からGoogleに繋げないからVPN経由でGoogleに接続するなどの用途でVPNが使われています。

政治的に制限の強い国ではVPNアプリは必須と言われているので、接続先情報が漏れたことは大問題になりそうです。

香港の会社なので意図的かもね・・・

SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site