Apps de VPN expuseram dados de milhões de usuários, incluindo brasileiros

Por Felipe Demartini | 15 de Julho de 2020 às 11h00

Os dados pessoais de milhões de usuários de quatro aplicativos de VPN mobile foram expostos na internet pela desenvolvedora dos softwares, que armazenou as informações em um servidor aberto e desprotegido. Brasileiros também aparecem em meio a um volume de 1,2 TB de dados pertencente a quatro soluções do tipo: UFO VPN, FAST VPN, Free VPN e Super VPN.

Todos os apps possuem versões para Android e iOS e, de acordo com os dados oficiais, acumulam mais de 20 milhões de downloads em todo o mundo. A descoberta dos especialistas do vpnMentor a partir de um estudo liderado por Noam Rotem não revela o número exato de pessoas cujos dados foram comprometidos, mas fala em um universo de mais de 1,08 bilhão de registros individuais e pessoalmente identificáveis, atingindo, potencialmente, a maior parte da base de usuários dos aplicativos.

Não apenas o servidor estava desprotegido, como e-mails e senhas de acesso apareciam em arquivos de texto simples, sem nenhum tipo de criptografia. Para terminar de compor o panorama perigoso da exposição, era possível encontrar detalhes sobre a conexão feita pelos usuários, com seus IPs originais e os usados para mascarar a conexão, assim como a localização geográfica em que eles se encontram e o país escolhido para uso da VPN, em um comprometimento que é exatamente o oposto da proposta de qualquer serviço de VPN.

Registros de usuários brasileiros estão em meio ao volume encontrado pela vpnMentor, com dados de milhões de usuários de apps que deveriam proteger a privacidade de suas conexões (Imagem: Reprodução/vpnMentor)

Os servidores abertos também traziam registros de pagamento de assinaturas, com direito a informações sobre a utilização de criptomoedas ou plataformas de pagamento como o PayPal, trocas de mensagens com o suporte e os smartphones usados para acesso, junto com informações técnicas dos aparelhos e o tipo de conexão utilizada, entre redes Wi-Fi ou móveis.

A ironia maior é que, de acordo com o relatório apresentado ao Canaltech pela vpnMentor, todas as plataformas comprometidas se apresentam como serviços que respeitam a privacidade dos usuários, sem manter registros de utilização e históricos. Em testes, os especialistas chegaram a baixar as aplicações e navegar em seus smartphones pessoais, conferindo, na sequência, que seus dados apareciam hospedados nos servidores, indicando que eles estavam sendo atualizados em tempo real e aumentando o escopo da falha a cada novo download realizado.

Origem comum

O compartilhamento de infraestrutura levou os analistas à conclusão de que os quatro aplicativos, apesar de registrados por desenvolvedores diferentes nas lojas oficiais, poderiam ser de responsabilidade de uma mesma empresa. Uma análise do registro de domínios relacionados às soluções, assim como o uso de sites semelhantes, levou à confirmação quando se descobriu que um mesmo nome era responsável por receber os pagamentos das assinaturas.

Operação das VPNs comprometidas seriam de responsabilidade da Dreamfii, empresa com sede em Hong Kong e que diz trabalhar com marketing e conteúdo online (Imagem: Reprodução/Felipe Demartini)

A empresa em questão é a Dreamfii HK Limited, com sede em Hong Kong. Online, ela se identifica como uma agência de publicidade e conteúdo digital focada em tecnologias para aplicativos e soluções de monetização para smartphones e redes sociais. Clientes como as operadoras de telefonia Vodafone e T-Mobile são citadas no site oficial, assim como Google Ads e Facebook.

Entre os diferentes nomes usados por ela para publicar aplicativos nas lojas oficiais estão Nownetmobi, Mobipotato e Starxmobi, além da própria Dreamfii. Sua atuação se resume basicamente a VPNs, que arrebanham os maiores totais de downloads e possuem edições voltadas a diferentes mercados, incluindo países da Ásia e Oriente Médio, bem como um único jogo casual, chamado Idle Car Tycoon.

O servidor exposto foi descoberto no dia 5 de julho, com os especialistas não recebendo nenhuma resposta dos responsáveis ao longo da semana seguinte, enquanto os dados dos usuários continuavam a ser atualizados nos servidores. A vpnMentor também entrou em contato com autoridades de segurança digital de Hong Kong, enquanto a confirmação de fechamento da infraestrutura só veio nesta quarta-feira, dia 15 de julho.

O Canaltech entrou em contato com a Dreamfii sobre o assunto e recebeu uma resposta em nome de um dos serviços, o UFO VPN. No comunicado, o porta-voz da empresa nega que seus serviços armazenem dados dos usuários, com as informações coletadas sendo usadas para analisar a performance da rede e eventuais problemas na utilização do serviço, sempre de forma anônima e com foco na qualidade.

De acordo com a plataforma, que afirma estar trabalhando com uma equipe reduzida por conta da pandemia de COVID-19, não houve vazamento de informações além do que foi divulgado no relatório da vpnMentor. Ainda, por mais que o servidor citado pelos especialistas tenha sido fechado, não foram encontrados indícios de problemas ou brechas no firewall que regula o acesso às informações.

Golpes e vigilância

Ao expor dados de localização e o histórico de navegação, responsáveis pelas VPNs colocam os usuários em risco real de espionagem, extorsão e perseguição (Imagem: Dan Nelson/Pixabay)

O maior risco envolvendo os usuários comprometidos em vazamentos como este é relacionado à privacidade. Em países com regimes autoritários ou onde a internet é controlada, a revelação de listas de acesso, com direito a localização dos usuários e informações que os identificam pessoalmente, pode ter consequências reais e trágicas, colocando-os na mira das autoridades.

Enquanto isso, o restante dos usuários ficam sujeitos a extorsão caso utilizem a VPN para visualizar conteúdo que não deveriam estar vendo. De posse do histórico de acesso e das informações pessoais dos utilizadores, hackers podem chantagear as vítimas, ameaçando divulgar os detalhes de sua atividade online para empregadores, familiares e cônjuges, exigindo pagamento para não fazer isso.

Fraudes também podem ser tentadas contra os usuários, com golpistas se passando pelas plataformas de VPN ou representantes de outros serviços legítimos utilizando as informações vazadas para dar aparência de legitimidade à comunicação. Isso se torna particularmente grave devido à presença de senhas não criptografadas no volume comprometido, com a combinação de credenciais podendo ser utilizadas em redes sociais, e-mails e outros serviços em busca de novos dados pessoais ou informações comprometedoras.

Além disso, conforme apontam os especialistas da vpnMentor, há de se prestar atenção nas próprias características do vazamento, com um serviço que deveria proteger a privacidade dos usuários fazendo exatamente o oposto. De acordo com os responsáveis pelo relatório, vale a pena prestar atenção nas soluções que são baixada e utilizadas, com um escrutínio sobre os desenvolvedores responsáveis. Uma simples pesquisa, por exemplo, pode ser capaz de revelar quando uma solução é confiável ou não.

Aos usuários potencialmente afetados, vale a pena prestar atenção em e-mails ou mensagens recebidas em nome de serviços legítimos, principalmente se elas incluírem links para download de aplicações, cadastros ou pagamentos. Em caso de extorsão ou ameaça, o ideal é entrar em contato com as autoridades e não realizar o pagamento de resgates pedidos pelos criminosos.

Fonte: vpnMentor  

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.