Как пишет "Коммерсант", база, актуальная на 24 февраля, содержит адреса электронной почты, пароли, логины пользователей, в том числе из России, а также данные о странах и оплате премиум-аккаунтов. В одном из образцов из архива на продажу содержится информация об устройствах пользователей VPN, включая серийные номера, типы телефонов и бренды.
Напомним, VPN-сервисы позволяют создавать защищенное интернет-соединение и получать доступ к заблокированным ресурсам. Они пользуются популярностью в странах, где власти активно блокируют различные сайты. По данным магазина Google Play, число скачиваний сервиса SuperVPN превышает 100 млн, а GeckoVPN и ChatVPN - 10 млн и 50 тыс. соответственно.
По словам основателя компании "Интернет-розыск" Игоря Бедерова, свежая утечка стала прямым следствием "халатности при обращении с конфиденциальной информацией", поскольку владельцы сервисов попросту не сменили пароли по умолчанию на серверах с данными пользователей.
Эксперт центра продуктов Solar Dozor Алексей Кубарев считает, что слитые данные могут быть использованы для фишинга, а также для атак типа "человек в середине", когда атакующий ставит вредоносные инструменты между жертвой и целевым ресурсом, перехватывая веб-сессии пользователя. Такие атаки могут приводить к кражам конфиденциальной информации, включая пароли и данные банковских карт.
"При выборе VPN пользователь должен взвешивать все риски - кому, какой компании он будет доверять свой интернет-трафик. Зачастую под бесплатными прокси, анонимайзерами и VPN скрываются разного рода мошенники. Хотя, безусловно, есть и подобные бесплатные инструменты с высокой международной репутацией, например, Psiphon, но это, скорее, исключение. Поэтому мы рекомендуем использовать те платные VPN с большой сетевой инфраструктурой, которые заслужили доверие среди активистов и правозащитников, как в России, так и в мире", - отметил глава "Роскомсвободы" Артем Козлюк.
Это не первая подобная утечка. В июле 2020 года исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей целого ряда популярных бесплатных VPN-сервисов, включая UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Хранившаяся на незащищенном сервере база объемом 1,2 ТБ содержала адреса электронной почты, домашние адреса, незашифрованные пароли, IP-адреса, данные о моделях смартфонов и идентификаторы устройств пользователей.