一連の「ゼロログ」VPNプロバイダーは、1テラバイトを超えるユーザーログが保護されていない状態でパブリックインターネットに公開されているサーバー上で発見されたことを受けて、説明責任を負っている。
このデータには、少なくともいくつかのケースでは平文のパスワード、個人情報、アクセスしたウェブサイトのリストなどが含まれており、誰でも偶然見ることができる状態になっていると言われています。
このすべてが明らかになったのは、Comparitech の Bob Diachenko 氏が、UFO VPN に属するセキュリティ保護されていない Elasticsearch クラスターで 894GB のレコードを発見した後の今週のことだ。
サイロには、ネットユーザーが UFO のサービスに接続した際のログ エントリのストリームが含まれていました。この情報には、プレーン テキストで書かれたアカウント パスワードと思われるもの、VPN セッションのシークレットとトークン、ユーザーのデバイスと接続先の VPN サーバーの IP アドレス、接続のタイムスタンプ、位置情報、デバイスの特性と OS バージョン、UFO の無料ユーザーのブラウザーに広告が挿入された Web ドメインなどが含まれていました。
UFOはプライバシーポリシーで太字で次のように明記しています。「当社は、当社サイト外でのユーザー活動を追跡しません。また、当社のサービスを利用しているユーザーのウェブサイト閲覧や接続活動も追跡しません。」しかし、少なくとも自社サービスへの接続は記録していたようです。しかも、そのシステムは、見つけることができれば誰でもアクセスできるものでした。
Comparitechによると、ログには1日あたり2,000万件以上のエントリが追加されており、UFOはウェブサイト上で2,000万人のユーザー数を誇っている。ディアチェンコ氏は、保護されていないデータベースを発見した7月1日にプロバイダーに設定ミスを報告したが、何の返答もなかったと述べた。
ああ、さらに悪化する
数日後の7月5日、VPNmentorのNoam Rotem氏率いるチームによってデータサイロが別途発見され、セキュリティ上の不備がUFOだけにとどまらず、はるかに広範囲に及んでいたことが明らかになりました。香港を拠点とする7つのVPNプロバイダー(UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN、Rabbit VPN)は、いずれもホワイトラベルVPNサービスを提供する共通の組織に属しているようです。
VPNmentorの報告によると、これらの攻撃はすべて、セキュリティ保護されていないElasticsearchクラスタからインターネット上にデータを漏洩していたという。合計で約1.2TBのデータが未公開状態にあり、ログエントリは合計1,083,997,361件に上り、その多くは極めて機密性の高い情報を含んでいたという。
この公開されたクラスターには、少なくとも、訪問したウェブサイトの記録、接続ログ、人物の名前、加入者の電子メールと自宅住所、プレーンテキストのパスワード、ビットコインとPayPalの支払い情報、サポートデスクへのメッセージ、デバイスの仕様、アカウント情報が含まれていたと伝えられています。
「これらのVPNはいずれも、自社のサービスが『ノーログ』VPNであると主張しています。つまり、それぞれのアプリ上でユーザーのアクティビティを一切記録しないということです」とロテム氏のチームは述べています。「しかし、共有サーバー上で複数のインターネットアクティビティログを発見しました。これは、メールアドレス、平文パスワード、IPアドレス、自宅住所、携帯電話の機種、デバイスID、その他の技術的な詳細といった個人を特定できる情報に加えて、記録されていたものです。」
無料VPNをお使いですか?仲介業者を介さずに、習近平国家主席にデータを送信してみませんか?
続きを読む
VPNmentorはプロバイダーの1つにアカウントを作成し、ログでその新しいアカウントを発見しました。具体的には「メールアドレス、場所、IPアドレス、デバイス、接続先のサーバー」です。VPNmentorは関係プロバイダーとHK-CERTにクラスターを一般公開から削除するよう警告しましたが、状況を直ちに改善するための措置は取られなかったようです。
伝えられるところによると、7月14日、ディアチェンコはUFO VPNのホスティングプロバイダーに対し、データベースが安全でないと警告し、翌日、システムが検索エンジンShodan.ioに掲載されてから約18日後、データベースはすべて姿を消した。
UFO VPNは、新型コロナウイルスの影響でスタッフがデータベースのネットワークを安全に管理できなかったと非難した。同社は声明で、「COVID-19の影響による人員変更のため、ハッキングの潜在的なリスクにつながるサーバーのファイアウォールルールのバグをすぐには発見できませんでした。しかし、現在は修正済みです」と述べた。
UFOはまた、ログはトラフィックパフォーマンスの監視のみを目的として保存されており、一部のログエントリにはユーザーのIPアドレス、アカウントトークン、シークレットが含まれているように見えたにもかかわらず、匿名化されていると主張しました。つまり、「ログなし」から「まあ、ログはいくつかある」へと変化しているということです。
プロバイダーはまた、ログに平文のアカウントパスワードは含まれていなかったため、データはセッショントークンなど別のものであるはずだと主張し、「ユーザー自身が送信したフィードバックにはメールアドレスが含まれているが、その数は非常に少なく、ユーザーの1%未満だ」と述べた。
ComparitechとVPNmentorはこれに反対し、後者はUFOの声明は「誤り」だと述べた。「いくつかのサンプルデータに基づくと、このデータは匿名ではないと考えています」とComparitechのポール・ビショフ氏は付け加えた。「UFO VPNユーザーはパスワードを直ちに変更することをお勧めします。同じパスワードを共有している他のアカウントも同様です。」
最後に、UFOのソフトウェアはDreamfii HK Limitedによって開発されており、同社は前述のVPNプロバイダーの販売取引をすべて受けており、最終的にこれらのVPNブランドを管理しているようだ。Dreamfiiにコメントを求めたが、回答は得られなかった。
「広範囲に」
セキュリティ研究者のケネス・ホワイト氏は、この設定ミスによって一部のVPNプロバイダーがいかに不誠実であるかが明らかになったとし、ネットユーザーはインターネットトラフィックをトンネルする組織を選択する際に、多少の疑念を抱き、宣伝文句に騙されないようにすべきだと語った。
「人気の商用VPNサービスでまたもや情報漏洩が発生したのは残念だが、正直言ってそれほど驚くことではない」と、MongoDBのセキュリティ責任者も務めるホワイト氏はThe Regに個人的な立場で語った。
今回のケースでは、ホワイトラベリングと呼ばれる業界で一般的な慣行により、影響はさらに広範囲に及んでいます。ホワイトラベリングとは、小規模なVPNプロバイダーが大規模なサービスをリブランドし、自社のネットワーク、インフラ、ソフトウェアを利用することです。今回のケースでは、顧客データが漏洩したVPNプロバイダーは少なくとも7社あるようですが、これは「ログなし」という各社のマーケティング上の主張とは全く相反するものです。
「こうしたサービスを運営する企業の大半は、明らかに虚偽のマーケティングを行っており、企業の出自も非常に不透明で、中には文字通り金融犯罪で有罪判決を受けた重罪犯によって運営されているケースもある。そのため、実際にはどちらも提供していないにもかかわらず、『強力なプライバシーとセキュリティ』の保護を主張するのは当然だ」と同氏は続けた。
何らかの第三者監査を受けた数少ないプロバイダーは、せいぜい自社の技術の一部について、ある時点における狭い範囲のスナップショットを提示できるだけです。VPNサービスの検索エンジン上位広告キャンペーンは、日常的に7桁以上の収益をもたらすことは業界ではよく知られています。一般消費者は明らかに劣勢であり、これらの企業は人々の不安につけ込んでいます。これは恥ずべき行為です。
ホワイト氏はツイッターでも痛烈なコメントを出した。
多くの場合、それさえもできません。@notdan や他の人たちが実証しているように、一部の大手プロバイダーはスプリットトンネリングを正しく機能させることすらできず、文字通り内部インターフェースを二重化してしまうのです。接続すると、突然、自宅のLAN全体が他のあらゆるVPNユーザーからのアクセスを許可してしまうのです。
— ケン・ホワイト(@kennwhite)2020年7月17日
The Register は、トラフィックの少なくとも一部をカプセル化することを望む賢明な読者は、すべてオープンソースである Trail of Bits の Algo、Google の Outline、または WireGuard を使用して独自の VPN を構築することを検討するかもしれないと提案しています。
または、VPN プロバイダーを使用して、ISP が確認できるすべての情報を VPN プロバイダーが確認できるという事実を脅威モデルに組み込みます。®
