Detaljerade uppgifter för mer än 21 miljoner mobila VPN-app-användare stals och annonserades ut för försäljning online förra veckan. De erbjuds av en cybertjuv som påstås ha stulit användardata som samlats in av VPN-apparna själva.

Uppgifterna inkluderar e-postadresser, slumpmässigt genererade lösenordssträngar, betalningsinformation och enhets-ID som tillhör användare av tre VPN-appar - SuperVPN, GeckoVPN och ChatVPN. Attacken, som inte har bekräftats av VPN-utvecklarna, representerar de senaste integritetsbredderna mot VPN-industrin.

Två liknande misstag har avslöjats för allmänheten sedan 2019, inklusive ett massivt dataläckage som exponerade flera VPN-appars tomma löften om att man samlar inte in "inga loggar" över sina användares aktivitet. I den dataläckan misslyckades inte bara VPN-leverantörerna med att leva upp till sina löften, utan de överförde också ytterligare data, inklusive användarnas e-postadresser, lösenord i klartext, IP-adresser, hemadresser, telefonmodeller och enhets-ID.

Användarna börjar känns sig ensamma när de hanterar sin integritet online, även när de litar på verktyg som är avsedda att förbättra den integriteten.

Cybersecurity-forskaren Troy Hunt, som skrev om den senaste dataläckan på Twitter, kallade hela frågan ”en enda röra och en påminnelse i rätt tid varför förtroende för en VPN-leverantör är så avgörande.” Han fortsatte: "Denna nivå av loggning är inte vad någon förväntar sig när man använder en tjänst som är utformad för att " förbättra " integriteten, för att inte tala om det faktum att de sedan läckt ut all information."

Dataläckage från SuperVPN, GeckoVPN och ChatVPN

I slutet av februari hävdade en användare på ett populärt hackingsforum att de hade stulit kontoinformation och referenser som tillhör användarna av tre separata VPN-appar som finns tillgängliga i Google Play-butiken för Android: SuperVPN, GeckoVPN och ChatVPN. De tre apparna varierar enormt i popularitet.

Enligt Google Plays antal har ChatVPN fått mer än 50 000 installationer, GeckoVPN 10 miljoner installationer och SuperVPN är en av de mest populära gratis VPN-apparna för Android idag, med mer än 100 miljoner installationer.

Trots SuperVPNs popularitet är det också en av de mest granskade VPN-apparna för Android-enheter. I april förra året fann en författare för Tom's Guide kritiska sårbarheter i appen som så oroade honom att recensionens rubrik riktade nuvarande användare till: "Radera det nu." Och bara en månad senare sa en recensent på TechRadarPro att SuperVPN hade en "värdelös integritetspolicy" som var långt från andra företags integritetspolicy och som direkt motsäger sig själv.

Inte mer än ett år senare har denna integritetspolicy åter kastats i rampljuset med ett dataläckage som ifrågasätter precis vilken typ av information appen faktiskt samlade in. Enligt tjuven som tagit bort informationen från SuperVPN, GeckoVPN och ChatVPN inkluderar data som säljs e-postadresser, användarnamn, fullständiga namn, landsnamn, slumpmässigt genererade lösenordssträngar, betalningsrelaterade data och användarens “Premium” -status motsvarande utgångsdatum. Efter foruminlägget upptäckte teknikutrymmet CyberNews också att de stulna uppgifterna inkluderade enhetens serienummer, telefontyp och tillverkarinformation, enhets-ID och IMSI-nummer för enheter. Enligt CyberNews togs data från "offentligt tillgängliga databaser som lämnades sårbara av VPN-leverantörerna på grund av att utvecklare lämnade standarddatabasinformation i bruk."

Tidigare VPN-fel

Den tråkiga sanningen om de senaste dataläckage från VPN-appar, är att denna typ av dataproblem är inget nytt. År 2019 bekräftade den populära VPN-leverantören NordVPN till TechCrunch att den drabbades av ett brott året innan.

Enligt TechCrunch:

”NordVPN berättade för TechCrunch att ett av dess datacenter drabbas i mars 2018.” Ett av datacenterna i Finland som vi hyr våra servrar från blev attackerad, säger NordVPN-talesman Laura Tyrell. Angriparen fick tillgång till servern - som hade varit aktiv i ungefär en månad - genom att utnyttja ett osäkert fjärrhanteringssystem som lämnades av datacenterleverantören;

NordVPN sa att det inte var medvetet om att ett sådant system fanns. ” NordVPN informerade Malwarebytes om att deras kunders data inte påverkades, och att den intrångade servern inte innehöll några användaraktivitetsloggar eller annan information som kunde kopplas till en viss användare.

Separat från NordVPN-överträdelsen, i juli förra året, visade det sig att sju VPN-leverantörer hade lämnat 1,2 terabyte privata användardata exponerade online, enligt en rapport publicerad av cybersäkerhetsforskare på vpnMentor. Enligt rapporten tillhörde de exponerade uppgifterna så många som 20 miljoner användare. Uppgifterna inkluderade e-postadresser, lösenord för klartext, IP-adresser, hemadresser, telefonmodeller, enhets-ID och Internet-aktivitetsloggar.

De sju VPN-leverantörerna som undersöktes av vpnMentor var:

UFO VPN

Fast VPN

Free VPN

Super VPN

Flash VPN

Secure VPN

Rabbit VPN

Forskarna på vpnMentor förklarade också att det fanns god anledning att tro att de sju apparna alla gjordes av samma utvecklare.

Vid analysen av apparna upptäckte vpnMentor att alla delade en gemensam Elasticsearch-server, delade samma betalningsmottagare - Dreamfii HK Limited - och att minst tre av VPN-enheterna hade liknande varumärken och layouter på deras webbplatser. Slutligen betonade rapporten också det faktum att alla sju appar hävdade att de hade "inga loggar" för användaraktivitet.

Trots detta sa vpnMentor att det "hittade flera instanser av internetaktivitetsloggar på [apparnas] delade server."

Rapporten fortsatte: "Vi såg detaljerade aktivitetsloggar från varje VPN, exponerade användarnas personliga information och surfaktiviteter medan vi använde VPN och okrypterade lösenord för ren text."

Så dessa appar misslyckades inte bara med att leva upp till sina egna ord utan de samlade också in extra användardata som de flesta användare inte förväntade sig.

När allt kommer omkring kan de flesta konsumenter med rätta anta att ett löfte att avstå från att samla in potentiellt känsliga uppgifter skulle sträcka sig till ett löfte om att avstå från att samla in andra typer av data.

Men enligt vpnMentor var det inte fallet, vilket är ett tydligt brott mot användarnas förtroende.

Här är några riktlinjer:

Läs recensioner från pålitliga tredje parter. Många av problemen i ovanstående appar upptäcktes av bra tredje parts granskare.

När du väljer en VPN-leverantör, lita på bedömningar från betrodda granskare.

Se till att en VPN-leverantör har en kundsupportkontakt. Flera av de VPN-appar som undersöktes av vpnMentor saknade något tydligt sätt att kontakta dem. Om du använder en produkt förtjänar du pålitlig och lättillgänglig kundsupport.

Kontrollera VPN: s sekretesspolicy. Som vi lärde oss ovan är en integritetspolicy inte en garanti för faktiskt integritetsskydd, men ett företags inställning till en integritetspolicy kan ge insikt i företagets tänkande och hur mycket det bryr sig mer om sina löften.

Var försiktig med gratis VPN de kommer ofta med betydande avvägningar, inklusive irriterande annonser och insamlingen och försäljningen av dina data som du inte ens vet sker.

Om du ska använda VPN, använd en som är tillverkad av ett företag du redan litar på. Flera online-integritets- och cybersäkerhetsföretag erbjuder VPN-verktyg för att komplettera sin nuvarande produktsvit. Om du redan litar på något av dessa företag - som Mozilla, Ghostery, ProtonMail eller, ja, Malwarebytes - finns det goda skäl att lita på deras VPN-produkter också. Det är en komplicerad onlinevärld där ute, men med rätt information och rätt framåtblickande forskning kan du vara säker.