La cyber-sécurité les chercheurs ont découvert des données non cryptées d’environ un million d’utilisateurs de Quickfox, un réseau privé virtuel gratuit (VPN) service principalement utilisé pour accéder aux sites chinois depuis l’extérieur de la Chine continentale.
Commentant la découverte, WizCase a déclaré que les données exposaient diverses informations personnellement identifiables (PII) des utilisateurs du service, notamment leurs noms, numéros de téléphone, etc.
« Il n’y avait pas besoin de mot de passe ou d’identifiants de connexion pour voir ces informations, et les données n’étaient pas cryptées. Sur la base des enregistrements exposés, notre équipe estime que la violation a touché au moins un million d’utilisateurs de Quickfox », écrit WizCase.
Les chercheurs en sécurité affirment qu’ils ont essayé de porter la fuite à l’attention de Quickfox, mais le fournisseur de VPN gratuit n’a pas encore répondu à leurs appels.
Sommaire
Collection trop zélée
Les données ont été découvertes grâce à une mauvaise configuration dans Quickfox Recherche élastique serveur grâce à la sécurité incomplète de la pile ELK.
Les chercheurs expliquent qu’ELK (Elasticsearch, Logstash et Kibana) sont trois Open source des applications qui aident à rationaliser les recherches dans des fichiers volumineux, tels que les journaux d’un service en ligne comme Quickfox.
« Quickfox avait mis en place des restrictions d’accès depuis Kibana, mais n’avait pas mis en place les mêmes mesures de sécurité pour son serveur Elasticsearch. Cela signifie que toute personne disposant d’un navigateur et d’une connexion Internet peut accéder aux journaux Quickfox et extraire des informations sensibles sur les utilisateurs de Quickfox », a expliqué WizCase.
Le total des fuites de données était composé de plus de 500 millions d’enregistrements et totalisait plus de 100 Go. Environ un million de ces enregistrements contenaient des informations personnelles d’utilisateurs, y compris des mots de passe hachés MD5, qui, selon WizCase, ne peuvent pas résister aux pirates de mots de passe modernes.
Il est cependant inquiétant de constater que les données divulguées ne contenaient pas seulement l’adresse IP attribuée à l’utilisateur, mais également l’adresse IP d’origine de l’utilisateur à partir de laquelle il s’était connecté au service VPN. WizCase a également été surpris que le service collecte des données sur les autres logiciels installés sur l’appareil de l’utilisateur.
« On ne sait pas pourquoi le VPN collectait ces données, car elles sont inutiles pour son processus et ce n’est pas une pratique standard observée avec d’autres services VPN. Nous n’avons pas pu trouver les conditions d’utilisation ou la politique de confidentialité de Quickfox pour confirmer si les utilisateurs étaient ou non au courant des informations extraites par Quickfox », observe WizCase.
