Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

7 fournisseurs de VPN basés à Hong Kong font fuiter des données personnelles le Commentaire de HackerOne

juillet 2020 par Aaron Zander, Directeur Informatique de HackerOne

Tandis que les entreprises faisaient un usage important des technologies VPN pour connecter leurs collaborateurs au réseau de l’entreprise dans le contexte de la pandémie de COVID-19, les fournisseurs de VPN grand-publics gratuits ont également tiré parti de cet engouement (à la faveur de la confusion avec les VPN d’entreprise).

Or les services de « VPN en ligne » proposent (souvent gratuitement) surtout de l’anonymisation : ils permettent à un utilisateur ne voulant pas être tracé de se connecter via un serveur faisant office de relai.

UFO VPN, un fournisseur de VPN basé à Hong Kong, qui se félicite de compter 20 millions d’utilisateurs, vient d’être pointé du doigt pour avoir exposé, par le biais d’une base de données non protégée, les logs journaliers d’utilisateurs.

UFO VPN étant par ailleurs un VPN en marque blanche partageant sa base de code et son infrastructure, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN sont également impliqués dans ces fuites de données, représentant tout de même 1,207 To d’informations privées exposées (incluant des mots de passe et des données de géolocalisation ) : https://www.comparitech.com/blog/vp...

Aaron Zander, Directeur Informatique de HackerOne, commente :

"Malheureusement, il est plus fréquent qu’on ne le pense que des bases de données se retrouvent exposées. Nous savons tous que la base de données d’une organisation contient des informations hautement stratégiques ou personnelles. Il existe de nombreux outils pour aider à prévenir ces erreurs, certains intégrés aux systèmes, d’autres externes. Beaucoup de ces outils sont fournis via un réseau intégrant des ports publics faciles à configurer avant de les fermer. Pourtant, de nombreuses bases de données sont laissées entrouvertes par erreur et la plupart des organisations ne remarqueront le problème qu’après une exposition. En fin de compte, il incombe toujours à l’organisation de s’assurer que des contrôles techniques (pare-feu, authentification, surveillance active) sont également en place pour garantir la sécurité de ces systèmes. L’utilisation d’une liste de contrôle pour vérifier que toutes les étapes ont été effectuées correctement peut aider à éviter que des erreurs administratives comme celle-ci ne se produisent".




Voir les articles précédents

    

Voir les articles suivants