Aplicativos mobile de VPN expuseram dados pessoas de milhões de usuários, incluindo brasileiros. Segundo a apuração do vpnMentor, que descobriu e divulgou a falha, as informações dos usuários ocupavam 1,2 TB de um servidor aberto e desprotegido. Os programas envolvidos neste vazamento são: UFO VPN, FAST VPN, Free VPN e Super VPN.
Na análise, os especialistas do vpnMentor não encontraram um número exato de pessoas afetadas. No entanto, mais de 1,08 bilhão de registros individuais foram identificados — o que atingiu, potencialmente, grande parte da base de usuários desses apps. No total, os aplicativos acumulam mais de 20 milhões de downloads.
IPs originais revelados
Registros de usuários brasileiros em meio aos dados vazadosFonte: vpnMentor/Reprodução
Os usuários desses programas, cujo objetivo é proteger o IP original dos computadores, tiveram essa informação vazada, além de sua localização geográfica, o país escolhido para uso da VPN e outras informações.
Os servidores abertos também traziam registros de pagamento de assinaturas, além de detalhes sobre o uso de criptomoedas ou plataformas de pagamento como o PayPal. Esses dados foram encontrados em arquivos de texto simples, sem nenhum tipo de criptografia.
Origem em comum
Os especialistas identificaram que os quatro aplicativos, apesar de registrados por diferentes desenvolvedores nas lojas oficiais, eram de responsabilidade de uma única empresa com sede em Hong Kong chamada Dreamfii HK Limited.
Em seu site oficial, a empresa se identifica como uma agência de publicidade e conteúdo digital especializada em tecnologias para aplicativos e soluções de monetização para smartphones e redes sociais. Entre a gama de clientes citados no site, estão as operadoras de telefonia Vodafone e T-Mobile, assim como Google Ads e Facebook.
Autoridades são acionadas
Os especialistas descobriram a falha no dia 5 de julho e comunicaram os responsáveis imediatamente, que não retornaram o aviso. Na semana seguinte, o vpnMentor registrou que os dados dos usuários continuavam a ser atualizados nos servidores.
Diante da ausência de respostas, o grupo acionou as autoridades de segurança digital de Hong Kong, que confirmaram o fechamento da infraestrutura nesta quarta-feira (15).
Fontes