Waspada, 7 Penyedia VPN diduga Bocorkan 1,2TB Data Pengguna

Sejumlah penyedia virtual private network (VPN) zero logging dituduh membocorkan log pengguna setelah 1,2 terabit log ditemuka di server mereka dan bebas diakses publik.

Data log tersebut mencakup kata sandi, informasi pribadi, dan daftar situs web yang dikunjungi yang bebas digunakan bagi siapapun yang menemukannya.

Hal tersebut terungkap setelah Bob Diachenko dari Comparitech melihat 894GB catatan dalam sebuah klaster Elasticsearch yang tidak aman milik UFO VPN, demikian dilansir dari The Insider.

Baca juga: Tekan TikTok, Instagram Luncurkan Reels Bulan Depan

Silo (tempat menyimpan data) berisi aliran entri log sebagai warganet yang terhubung ke layanan UFO. Informasi ini termasuk kata sandi akun dalam teks biasa, rahasia dan token sesi VPN, alamat IP perangkat pengguna dan server VPN yang terhubung,  waktu koneksi, informasi lokasi, karakteristik perangkat dan versi OS, dan domain web dari mana iklan dimasukkan ke browser pengguna UFO gratis.

UFO menyatakan dengan tegas dalam kebijakan privasinya: "Kami tidak melacak aktivitas pengguna di luar situs kami, kami juga tidak melacak aktivitas penelusuran situs web atau koneksi pengguna yang menggunakan layanan kami."

Namun tampaknya informasi tersebut berhubungan dengan layanannya, dan terkoneksi dalam sistem yang bisa diakses siapapun jika mereka bisa menemukan silo tersebut.

Comparitech menyebutkan, lebih dari 20 juta entri ditambahkan sehari ke log, dan UFO kebetulan menyatakan situsnya memiliki 20 juta pengguna.

Diachenko mengatakan dia memperingatkan penyedia mengenai kesalahan konfigurasi pada 1 Juli ketika dia menemuka database yang tidak terlindungi tersebut, tetapi tidak melihat tindakan apapun.

Beberapa hari kemudian, pada 5 Juli, silo data secara terpisah ditemukan oleh tim Noam Rotem di VPNmentor yang memperlihatkan celah keamanan lebih buruk daripada yang terjadi pada UFO.

Tampaknya tujuh penyedia VPN yang berbasis di Hong Kong - UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN , dan Rabbit VPN berbagi entitas yang sama.

Dan mereka semua membocorkan data ke internet dari klaster Elasticsearch yang tidak aman itu, VPNmentor melaporkan. Secara keseluruhan, sekitar 1,2TB data berada di tempat terbuka, dengan total 1.083.997.361 entri log, banyak menampilkan informasi yang sangat sensitif, katanya.

Klaster yang terbuka ini berisi setidaknya beberapa catatan situs web yang dikunjungi, log koneksi, nama orang, email dan alamat rumah pelanggan, kata sandi teks, informasi pembayaran Bitcoin dan Paypal, spesifikasi perangkat, dan info akun.

"Masing-masing VPN ini mengklaim bahwa layanan mereka adalah VPN 'tanpa log', yang berarti mereka tidak merekam aktivitas pengguna apa pun di aplikasi masing-masing," kata tim Rotem. "Namun, kami menemukan beberapa contoh log aktivitas internet di server bersama mereka. Ini selain informasi yang dapat diidentifikasi secara pribadi, yang meliputi alamat email, kata sandi teks yang jelas, alamat IP, alamat rumah, model telepon, ID perangkat, dan teknis lainnya detail. "

Pada 14 Juli, Diachenko memperingatkan penyedia hosting UFO VPN bahwa database itu tidak aman, dan hari berikutnya, semuanya menghilang dari pencarian, sekitar 18 hari setelah sistem muncul di mesin pencari Shodan.io.

UFO VPN, salah satunya, menyalahkan virus korona atas kelemahan pengamanan jaringan basis data. "Karena perubahan personel yang disebabkan oleh covid-19, kami tidak segera menemukan bug dalam aturan firewall server, yang akan mengarah pada risiko potensial diretas," katanya dalam sebuah pernyataan. "Dan sekarang sudah diperbaiki."

UFO juga mengklaim log-nya disimpan untuk pemantauan kinerja traffic, dan dianonimkan meskipun beberapa entri log tampaknya berisi alamat IP orang, dan token dan rahasia akun.

Comparitech dan VPNmentor tidak setuju dan mengatakan pernyataan UFO itu "salah." "Berdasarkan beberapa data sampel, kami tidak percaya data ini menjadi anonim," tambah Paul Bischoff dari Comparitech. "Kami menyarankan pengguna VPN UFO segera mengubah kata sandi mereka, dan hal yang sama berlaku untuk akun lain yang berbagi kata sandi yang sama."

Perangkat lunak UFO dikembangkan oleh Dreamfii HK Limited, yang menerima semua transaksi penjualan penyedia VPN yang disebutkan di atas, dan tampaknya pada akhirnya mengendalikan merek-merek VPN tersebut. Dreamfii tidak dapat dihubungi untuk memberikan komentar.

The Register menyarankan pembacanya yang ingin mrekam traffic mereka agar memasang VPN sendiri menggunakan Trail of Bits 'Algo, Google's Outline, atau WireGuard, yang semuanya adalah open source. (TheInsider/H-3)