Un VPN devrait protéger les informations des utilisateurs et assurer le secret de la navigation, mais ce n’est pas toujours le cas. C’est le cas de sept services qui ont conservé les données personnelles de leurs clients exposées pendant au moins deux semaines. Selon la société de sécurité vpnMentor, qui a découvert la vulnérabilité, 20 millions d’utilisateurs pourraient avoir été touchés.
C’est le nombre d’utilisateurs annoncé par le VPN OVNI, un des services qui a gardé les données exposées. La société affirme que l’incident s’est produit entre le 29 juin et le 13 juillet. En outre, l’échec concerne le VPN FAST, le VPN gratuit, le Super VPN, le VPN Flash, le VPN sécurisé et le VPN Lapin. Les sept offrent gratuitement ce qui serait des réseaux privés virtuels qui ne sauvegardent pas les journaux de connexion.
Toutefois, la recherche de vpnMentor a permis de trouver des données telles que des courriers électroniques, des mots de passe non cryptés, des adresses IP, des adresses de domicile et des modèles d’appareils utilisés par les clients. La base de données a également permis d’accéder aux informations de paiement via PayPal et Bitcoin et aux messages envoyés par les utilisateurs au service d’assistance aux entreprises.
Cette défaillance a également permis à quiconque de connaître les détails de navigation tels que les journaux de connexion, les sites consultés, la localisation de l’utilisateur et les fournisseurs. Ces informations étaient conservées dans la base de données utilisée par les applications Android, iOS, Windows ou MacOS. Pour aggraver les choses, des informations sur les serveurs VPN, y compris leur emplacement, ont également été exposées.
Avec les données personnelles et de navigation affichées, les utilisateurs peuvent être victimes d’hameçonnage et d’extorsion, voire se faire arrêter, car certains sites trouvés dans la base de données sont interdits dans les pays où ils ont été consultés. Ces VPN ont trahi leurs utilisateurs les plus vulnérables et les ont exposés à un grand danger”, a déclaré vpnMentor.
Base de données de partage des services
L’analyse a également indiqué que les sept services VPN ont la même base de données et affichent le même destinataire pour les paiements. Certains d’entre eux maintiennent des sites presque identiques. Apparemment, ils ont été créés par les mêmes développeurs dans le modèle de marque blanche, où seule la marque affichée aux utilisateurs est modifiée.
Le vpnMentor dit avoir contacté les entreprises le 5 juillet pour les alerter de la défaillance, mais avoir eu des difficultés à obtenir un retour. La réponse la plus détaillée est venue du VPN OVNI, qui a confirmé la période pendant laquelle l’information est devenue visible pour les tiers et a déclaré que la situation était résolue.
