بشكل فجائي وغير متوقع، تركت مجموعة من تطبيقات VPN مجانية (الشبكة الافتراضية الخاصة) خادمها مفتوحا تماما ويمكن الوصول إليه بسهولة، مما عرض بيانات المستخدمين الخاصة وتفاصيلهم الشخصية أمام أي شخص قادر على الولوج إلى الخوادم.

هذا النقص الفاضح في التدابير الأمنية الأساسية التي يجب اتخاذها وضعت الأمن السيبراني في دائرة الخطر، خصوصا مع التجاهل التام لممارسات VPN القياسية التي تعرض مستخدميها للخطر في كل لحظة.

إذ كشف فريق بحث vpnMentor بقيادة Noam Rotem، عن الخادم وعثر على بيانات معلومات تحديد الهوية الشخصية (PII) لما يزيد عن 20 مليون مستخدم VPN حول العالم، وفقا لمزاعم أرقام المستخدمين التي قدمتها الشبكات الافتراضية الخاصة.

تدعي كل من هذه الشبكات الافتراضية الخاصة أن خدماتها هي شبكات افتراضية خاصة “بدون سجل”، مما يعني أنها لا تسجل أي نشاط للمستخدم على التطبيقات الخاصة بها. ومع ذلك، وجد الباحثون أمثلة متعددة لسجلات أنشطة الإنترنت على الخادم المشترك الخاص بهم. هذا بالإضافة إلى بيانات PII، التي تضمنت عناوين البريد الإلكتروني، وكلمات المرور النصية الواضحة، وعناوين IP، وعناوين المنازل، وطرازات الهواتف، ونوع الجهاز المستخدم، والتفاصيل الفنية الأخرى.

شبكات VPN المتأثرة هي UFO VPN و FAST VPN و Free VPN و Super VPN و Flash VPN و Secure VPN و Rabbit VPN. وكلها تبدو متصلة بمطور تطبيقات بيضاء مشترك يعمل لشركات أخرى أيضا.

 

تطبيقات VPN مجانية لنفس المطور!

يعتقد فريق البحث أن الشبكات الافتراضية الخاصة التي تم الكشف عنها في هذا التسرب تشارك نفس المطور، بناء على النتائج التالية:

– تشترك الشبكات الافتراضية الخاصة في خادم Elasticsearch المشترك.

– يتم استضافة هذه الشبكات على نفس الأصول.

– لديهم مستلم واحد للمدفوعات Dreamfii HK Limited.

– تشارك ثلاث شبكات VPN على الأقل على الخادم علامة تجارية متطابقة تقريبا على مواقعها الالكترونية.

وبذلك يبدو أن الشبكات الافتراضية الخاصة هي تطبيقات “بيضاء”، تم إنشاؤها بواسطة كيان واحد وتم تغيير علامتها التجارية لاستخدامها تحت أسماء متعددة.

ووفقا لمواقع الويب الخاصة بكل VPN، توفر كل شبكة افتراضية خاصة ميزات أمان من الدرجة العسكرية وسياسات عدم وجود سجلات لتعزيز أمن معلومات المستخدمين. ومع ذلك، يتعارض هذا الموضوع مع النتائج التي توصل إليها البحث.

إذ تم رصد سجلات الأنشطة التفصيلية من كل شبكة افتراضية خاصة (VPN)، وكشف معلومات المستخدمين الشخصية وأنشطة التصفح أثناء استخدام الشبكات الافتراضية الخاصة، وكلمات مرور النص غير المشفرة والتي نادرًا ما يتم استخدامها في منتجات أمنية من الدرجة العسكرية.