App de VPN deixa vazar volume com 360 milhões de dados de usuários

Um volume com mais de 360,3 milhões de dados de usuários do aplicativo SuperVPN estava disponível na internet sem proteção, podendo ser acessado por qualquer pessoa. No interior, estavam informações como endereços de e-mail e IP, geolocalização, e, na parte mais sensível da exposição, registros de servidores para redirecionamento de tráfego e links de sites acessados pelos utilizadores da plataforma.

• Como usar VPN no celular | Guia Prático
• Número de usuários de VPN cresce, mas 80% ainda preferem serviços gratuitos

O software gratuito, disponível em versões para iOS e Android, acumula mais de 100 milhões de downloads somente na loja oficial do Google, constituindo uma das opções de VPN gratuitas mais populares da plataforma. Por razões éticas, o volume não foi esmiuçado pelos especialistas da vpnMentor, responsáveis pela descoberta, o que impede saber se informações de brasileiros estavam na exposição. Por aqui, a busca por apps desse tipo aumentou recentemente, após o bloqueio do Telegram, por exemplo.

Por isso, aos usuários, o ideal é contar que sim, já que a quantidade de registros disponíveis no volume exposto também corresponde a uma bela fatia do total de utilizadores da solução. Entre os 113 GB de informações disponíveis também estavam segredos de aplicação, identificadores individuais dos usuários e informações sobre o aparelho usado para acesso, bem como sistema operacional e o tipo de conexão usada, entre Wi-Fi ou dados celulares.

Em outro aspecto que adiciona gravidade ao volume, o pesquisador Jeremiah Fowler, da vpnMentor, também aponta para a presença de registros financeiros em meio ao vazamento. Ainda que dados de cartão de crédito e outras informações de pagamento não estejam disponíveis, foi possível acessar registros de assinatura e reembolso relacionados ao uso do aplicativo, que fornece VPN gratuita ao lado de opções pagas com mais recursos e menos restrições de acesso.

“Enquanto VPNs são criadas para dar um maior grau de privacidade e segurança no uso da web, elas não são imunes a falhas de segurança e podem ser alvo de vazamentos”, explicou o pesquisador. “Caso o provedor do serviço colete ou armazene registros de uso, eles podem comprometer os clientes caso tais informações sejam expostas ou possam ser acessadas publicamente.”

O caso da SuperVPN é justamente esse segundo, com um servidor mal configurado trazendo as informações disponíveis a quem o localizasse na internet. De acordo com Fowler, o contato com a empresa responsável pela solução não teve resposta e nem mesmo confirmação de que os dados efetivamente pertenciam a ela, mas o acesso foi fechado apenas dias depois da notificação inicial, o que indica que seus administradores foram notificados sobre o problema.

Fowler indica ainda uma falta de transparência e clareza de informações em relação aos responsáveis pela aplicação, que usam nomes diferentes de desenvolvedor em suas versões iOS e Android. De origem chinesa, a SuperVPN também traria termos de uso considerados “preocupantes”, com elementos ambíguos e pouca clareza.

Como escolher um bom serviço de VPN?

Contratos de privacidade ambíguos e a falta de clareza sobre a origem do desenvolvedor são elementos citados pelos especialistas como alertas vermelhos na escolha de uma VPN, principalmente gratuita. O ideal, segundo os especialistas, é buscar fornecedores reconhecidos e renomados, que tenham boa reputação na indústria de tecnologia e não estejam envolvidos em escândalos de segurança e privacidade.

Fornecedoras renomadas de antivírus, por exemplo, costumam oferecer soluções de VPN. Na hora de escolher, também vale a pena procurar pela existência de criptografia forte e bons recursos de segurança, enquanto comentários de usuários e análises na imprensa também podem fornecer mais detalhes sobre as soluções antes que a privacidade dos usuários seja colocada em risco.

Fonte: vpnMentor