Agências do governo dos EUA estão de olho nas brechas de serviços de VPN

O surgimento de um anúncio buscando falhas zero day (ou dia zero, aquelas desconhecidas quando desde os lançamentos dos softwares) em três serviços populares de VPN acendeu um alerta sobre o possível interesse de agências governamentais em explorar aberturas nesse tipo de plataforma. O pedido veio da Zerodium, empresa que atua na compra de brechas desse tipo, e é focado nos serviços da Surfshark, NordVPN e ExpressVPN, com foco em vulnerabilidades que permitam localizar usuários.

• VPN gratuita expõe os dados de um milhão de usuários
• Windows atrai ataques ransomware, aponta pesquisa da VirusTotal
• Hacker explica como criou rede de fake news para impulsionar eleição de Trump

O anúncio é claro e, como tantos outros, foi feito pelo Twitter. Segundo a postagem, a companhia procura aberturas que permitem obter o endereço IP e outras informações dos utilizadores da VPN, bem como executar códigos remotamente. Não há interesse, segundo a Zerodium, em falhas que permitam escalar privilégios na máquina do usuário, indicando que o interesse é nele próprio e não necessariamente nos dados armazenados em dispositivos.

Levando em conta os clientes oficiais da companhia, com agências governamentais e forças da lei, a conclusão mais direta é que as aberturas seriam usadas em operações de espionagem ou investigações. As autoridades que usam os serviços da Zerodium ficam, principalmente, na Europa e na América do Norte, tradicionalmente utilizando aberturas desse tipo em suas operações. Apesar da clareza do pedido, é claro que a companhia de cibersegurança não deu mais detalhes sobre os motivos por trás da busca, não deixando, nem mesmo, a publicação no Twitter aberta a respostas de terceiros.

Juntos, os três serviços concentram dezenas de milhões de usuários em todo o mundo, com mais de 11 mil servidores espalhados pelo globo. Enquanto isso, o pedido acompanha um alerta recente da Agência de Segurança Nacional (NSA, na sigla em inglês), do governo dos EUA, que apontou o uso do Surfshark e da NordVPN por criminosos russos no lançamento de ataques de força bruta. No final de 2020, o FBI também emitiu aviso semelhante sobre uma campanha de fake news criada por bandidos iranianos que tentavam se passar por integrantes da extrema-direita americana.

Oficialmente, a Zerodium afirma moderar diretamente o uso de vulnerabilidades e explorações por seus clientes, com apenas um pequeno número deles tendo acesso a ferramentas que envolvem brechas zero day. Os valores oferecidos neste caso não foram revelados, mas em alguns casos, eles podem ultrapassar a marca do US$ 1 milhão, como foi o caso de uma abertura que permitia a reprodução de código remoto no modo sandbox do navegador Google Chrome.

Das empresas-alvo, a Surfshark foi a única a responder aos contatos da imprensa internacional, afirmando adotar as mais altas práticas de segurança para proteger a identidade de seus clientes. A empresa criticou os esforços da Zerodium para se aproveitar de brechas de segurança e disse trabalhar de forma cautelosa na solução de vulnerabilidades, com as devidas recompensas sendo pagas a quem as descobrir.

Já a empresa de cibersegurança, em si, não se pronunciou sobre o assunto.

Fonte: Bleeping Computer