▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...

VPN gratuite: 21 milioni di dati esposti

Un grave data breach causato dalle scarse misure di sicurezza dei programmatori di tre servizi VPN gratuiti per Android.

Consumer Vulnerabilità
Sul dark web sono in vendita le credenziali di oltre 21 milioni di utenti di app VPN mobile gratuite. È accaduto la scorsa settimana, quando non meglio precisato cyber criminale ha pubblicizzato la vendita online. Il bottino comprende indirizzi email, password, informazioni di pagamento e ID del dispositivo da cui sono stati sottratti i dati.

Presumibilmente il furto è avvenuto sottraendo le informazioni dalle app stesse, che in particolare sono tre: SuperVPN, GeckoVPN e ChatVPN. I rispettivi sviluppatori non hanno confermato l'ipotesi. Se fosse veritiera, si tratterebbe del più grave attacco contro il settore VPN in epoca recente. Nel 2019 si verificò un precedente, con una massiccia fuga di dati che comprendeva indirizzi email, password in chiaro, indirizzi IP, indirizzi home, modelli di telefono e ID dispositivo.

La beffa è che gli ignari utenti vittime del furto si erano affidati alle VPN proprio per tenere i propri dati al sicuro. Quanto accaduto quindi mina alla fiducia di questi servizi, che nonostante le difficoltà sono ancora importanti nella situazione sanitaria in cui ci troviamo.

È da sottolineare che i servizi interessati non sono ad uso aziendale. Si tratta in tutti i casi di VPN mobile, scaricate a titolo gratuito. Molti esperti di cyber security in epoca non sospetta hanno sconsigliato la scelta di servizi VPN "for free", perché non garantiscono il livello di sicurezza che ci si aspetta da un servizio nato per proteggere la privacy.
data breach 2

Come scegliere una VPN sicura

A seguito di questo grave data breach vale la pena riepilogare i criteri di scelta di una VPN da parte dei consumatori finali. È sconsigliato fare una ricerca nello store di riferimento e scaricare un prodotto a caso. La VPN si usa per garantire riservatezza e protezione dei dati, per esempio quando si è agganciati a un Wi-Fi pubblico o quando si effettuano transazioni bancarie.

Affinché questi requisiti siano garantiti, occorrono delle verifiche. Innanzi tutto, selezionate le potenziali VPN da usare, è consigliato leggere le recensioni attendibili di terze parti. Il secondo punto riguarda il buon senso: un servizio serio dispone di un contatto di assistenza clienti. Se manca, meglio non fidarsi.

Se sono soddisfatti i primi due punti sarà bene provvedere alla lettura dell'informativa sulla privacy. Non è una garanzia per l'effettiva protezione della privacy, ma è indicativo dell'approccio e della serietà dell'azienda produttrice. Se conoscete già l'azienda per altri prodotti è un buon punto di partenza: quasi tutti i produttori di cyber security offrono servizi VPN.

Dalla teoria alla pratica

Le tre VPN sopra menzionate sono disponibili sul Play Store di Google, su cui riscuotono una certa popolarità. In particolare, ChatVPN ha più di 50.000 installazioni, GeckoVPN supera i 10 milioni di installazioni e SuperVPN è la protagonista della scena con 100 milioni di installazioni attive. Alla luce di quanto accaduto, questo fa comprendere che la popolarità di una VPN non è garanzia della sua affidabilità.

SuperVPN è stata recensita da una popolare testata giornalistica statunitense. Il redattore ha trovato vulnerabilità critiche tali da indicare ai lettori di non installarla, e di cancellarla in caso fosse installata sui propri sistemi. Una seconda testata ha descritto la politica sulla privacy come inutile e contraddittoria.Seguendo le indicazioni che abbiamo dato sopra per la scelta della VPN, questo avrebbe dovuto bastare per scartare le candidate. 

Chi non l'ha fatto ha avuto una brutta sorpresa, perché i suoi dati sono stati rubati, e l'attaccante non ha avuto nemmeno bisogno di ingegnarsi troppo: a quanto si apprende dalle fonti di stampa statunitensi, i dati sono stati prelevati da database pubblicamente disponibili per i quali i programmatori hanno lasciate invariate le credenziali predefinite. La strage della cyber security.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter