再爆!免费 VPN 服务 SuperVPN 泄露 3.6 亿用户隐私
近日,SuperVPN 暴露了高达 133 GB 的数据,其中包括毫无戒心的用户的个人详细信息,例如 IP 地址。 早在 2022 年 5 月,SuperVPN 这一免费 VPN 服务提供商就曾泄露客户数据。 在最近的一次网络安全事件中,安全研究员 Jeremiah Fowler 发现了一个与流行的免费 VPN 服务相关的非密码保护数据库中的重大数据泄露。 暴露的数据库包含惊人的 360,308,817 条记录,总计 133 GB。这些记录包括范围广泛的敏感信息,包括用户电子邮件地址、原始 IP 地址、地理位置数据和服务器使用记录。 此外,该漏洞还泄露了密钥、唯一应用程序用户 ID 号和 UUID 号,可用于识别更多有用信息。 在数据库中找到的其他信息包括电话或设备型号、操作系统、互联网连接类型和 VPN 应用程序版本。此外,退款请求和付费帐户详细信息也存在于违规行为中。 泄露数据的类型(VPNmentor) 虽然 SuperVPN 声称它不存储用户日志,但泄露的数据表明情况并非如此,这与公司的政策相矛盾。这也表明“几乎每一个主要的免费 VPN 服务都是一个荣耀的数据农场。” 随着人们对在线隐私和安全的日益关注,近年来对 VPN 服务的需求猛增。因此,市场上可供用户使用的 VPN 应用程序数量显着增加。 然而,产品数量激增导致 VPN 应用程序比例惊人,它们不可靠且无法提供预期的隐私和安全级别。这会导致适得其反的用户体验,因为缺乏足够的安全协议会使他们的信息面临因数据泄露而泄露的风险。 根据 VPNmentor 的报告,暴露的数据库中的大部分记录都与 SuperVPN 相关联,SuperVPN 是一款免费的 VPN 应用程序,可在苹果和谷歌应用程序商店中使用。 此外,研究人员注意到列出了两个名为 SuperVPN 的应用程序,每个都归功于不同的开发人员。青岛乐游互动网络科技有限公司是 SuperVPN for iOS、iPad 和 macOS 的开发商,而 SuperSoft Tech 开发了第二个同名应用程序。 值得注意的是,这并不是 SuperVPN 第一次因泄露其毫无戒心的用户的个人详细信息而受到指责。事实上,正如 Hackread.com 在 2022 年 5 月报道的那样,SuperVPN 是泄露超过 2100 万用户详细信息的免费 VPN 服务列表之一。其他泄露客户数据的免费 VPN 服务包括 GeckoVPN 和 ChatVPN。该数据库总共包含 10GB 的数据,这些数据在 Telegram 上泄露。 在vpnMentor 发布的报告中,Fowler 注意到 SuperVPN 的客户支持电子邮件与 StormVPN、Luna VPN、RocketVPN 和 GhostVPN 相关联。此外,在数据库中观察到对这些 VPN 提供商中的每一个的引用。 泄露数据的类型(VPNmentor) 不可靠的 VPN 应用程序的激增可归因于寻求利用日益增长的隐私和安全需求的利润驱动的开发人员。 VPN 行业已经变得非常有利可图,全球数百万用户正在寻求可靠的解决方案来保护他们的在线状态。在这种环境下,一些开发人员将金钱收益置于用户安全之上,专注于快速且廉价的 VPN 应用程序开发、营销和分发。 因此,对于一家公司来说,生产多个名称不同且用户体验略有不同的 VPN 应用程序并非不可能,因为这将使其能够在用户身上撒下更广泛的网络,以寻找合适的 VPN 提供商。 选择免费 VPN 服务时,必须谨慎行事并考虑某些表明潜在风险的危险信号。这些包括: 1、不明确的数据收集和使用政策 确认 VPN 服务不会记录您的互联网活动,以避免数据被出售给广告商或第三方的风险。 2、缺乏透明度 请注意 VPN 提供商的官方网站上没有“关于我们”部分,因为这可能表明缺少有关谁处理您数据的信息。 3、DNS 泄漏保护 确保 VPN 服务提供 DNS 泄漏保护,以防止您的互联网服务提供商看到您的在线活动。 4、弱加密 避免使用提供弱于 128 位或 256 位 AES 加密的 VPN,因为这会增加您的数据被泄露的风险。 5、负面评论 阅读用户评论并咨询信誉良好的评论网站,以在选择 VPN 服务之前评估其他用户的体验和顾虑。 VPN 应用程序的激增为寻求在线活动隐私和安全的用户带来了机遇和挑战。虽然市场上提供了范围广泛的可靠 VPN 解决方案,但越来越多的不可靠应用程序需要谨慎和明智的决策。 通过了解导致VPN 应用程序过多的因素,识别与其使用相关的风险,并实施降低这些风险的措施,用户可以做出更明智的选择来保护他们的在线隐私和安全。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/PGdWdBFMRtEr25iWC9EA0A 封面来源于网络,如有侵权请联系删除
新型勒索软件 CACTUS 利用 VPN 漏洞开展攻击活动
The Hacker News 网站披露,网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞,对大型商业实体进行网络攻击。 Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统,就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点,创建新用户帐户,随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。 CACTUS 善于利用各种工具 自 2023 年 3 月以来,安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外,网络攻击者采用了双重勒索策略,在加密前窃取敏感数据。值得一提的是,截至目前为止尚未发现任何数据泄露。 CACTUS 恶意软件利用存在漏洞 VPN 设备后,进入目标系统,设置一个 SSH 后门,以谋求后续能够“长久”入侵。在完成上述步骤后,开始执行一系列 PowerShell 命令进行网络扫描,并确定用于加密的计算机列表。 此外,在 CACTUS 恶意软件攻击过程中,还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制,同时也“积极”利用 AnyDesk 等远程监控和管理(RMM)软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS 恶意软件感染过程中禁用和卸载目标系统的安全解决方案,以及从 Web 浏览器和本地安全子系统服务(LSASS)中提取凭证以提升自身权限。 CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现,其中赎金软件是通过 PowerShell 脚本实现的(Black Basta 也使用过类似方法)。 Cactus 与其它恶意软件存在明显差异 与其它勒索软件相比,Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件,Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本质上是对自身进行加密,使其更难检测,并帮助其避开防病毒和网络监控工具。(CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件,然后在执行有效负载之前删除 .7z 档案。) Cactus 勒索软件存在三种主要的执行模式,每种模式都使用特定的命令行开关进行选择:设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中,加密器稍后在使用 -r 命令行参数运行时读取该文件。 从研究人员的分析结果来看,CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞,侵入目标受害者网络,这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞,进行初始入侵。 几天前,趋势科技也发现名为 Rapture 的勒索软件,它的整个感染链最多可持续三到五天。 最后,研究人员强调有理由怀疑,攻击活动是通过易受攻击网站和服务器促进入内部系统的,因此实体组织必须采取措施保持系统的最新状态,并执行最低特权原则(PoLP)。 转自 Freebuf,原文链接:https://www.freebuf.com/news/366111.html 封面来源于网络,如有侵权请联系删除
印度推迟要求 VPN 供应商存储客户数据的争议性规定
早在5月,印度宣布了一套新的严格规定,其要求VPN和云服务供应商记录其客户的数据并跟政府分享。虽然修改后的规定本应于6月27日生效,但现在已经推迟了三个月。 这些有争议的规定强制要求VPN供应商收集以下信息: 姓名、电子邮件地址和电话号码 客户使用VPN服务的目的 分配给客户的IP地址和客户用来注册服务的IP地址 客户的“所有权模式” 包括日期在内的租用期限 该条例影响到数据中心、VPN、虚拟私人服务器(VPS)和云服务供应商,那些拒绝遵守的人可能面临一年以下的监禁。印度计算机应急小组(CERT)的这一指令面临来自消费者和受影响供应商的许多批评。事实上,ExpressVPN拒绝遵守规则,其已经将其服务器从该国撤出。 据了解,该规定推迟三个月的原因是为了使受影响的公司能够适应新的指导方针,甚至考虑完全放弃在该国的业务的选择。 在给CERT的一封联名信中,当地网络安全专家对新法规的危险性发出警告: 目前的指示将产生削弱网络安全及其关键组成部分–在线隐私的意外后果。我们认识到需要一个框架来管理网络事件的报告,但《Directions》中规定的报告时限和过度的数据保留任务,将在实践中产生负面影响并阻碍有效性,与此同时还会危及在线隐私和安全。 印度政府方面拒绝在其立场上做出让步,立法者表示他们不会屈服于外部压力也不会就此事进行公开咨询。在推迟之后,新规则将从2022年9月25日开始生效。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1286157.htm 封面来源于网络,如有侵权请联系删除
FBI、CISA 对企业虚拟专有网访问凭据攻击“Vishing”带来的威胁发出警告
美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合预警,警告针对公司的语音钓鱼或 “vishing “攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时,KrebsOnSecurity就发表了一篇文章,该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。 “COVID-19大流行导致大规模转向在家工作,导致企业虚拟专用网络(VPN)的使用增加,在2020年7月中旬,网络犯罪分子开始了一场名为vishing的活动–以无差别获得多家公司员工工具的访问权–最终目标是将访问权货币化。” 正如周三的报道所指出的那样,这些机构表示,攻击者设置的钓鱼网站往往连字符、目标公司的名称和某些词语都非常具有指向性–如 “支持”、”票据 “和 “员工”。作案者专注于对目标公司的新员工进行社会工程,并冒充目标公司IT服务台的工作人员。 FBI/CISA的联合警报称,vishing团伙还利用社交媒体平台上的公共档案、招聘人员和营销工具、公开的背景调查服务以及开源研究,大规模搜刮特定公司的员工档案。从警报中可以看出。 “作案者先是使用未经归属的网络电话(VoIP)号码 拨打目标员工的个人手机,随后开始结合其他办公室和受害者公司员工的虚假号码。行为人使用社会工程技术,在某些情况下,冒充受害者公司IT服务台的成员,利用他们对员工个人身份信息的了解–包括姓名、职位、在公司的时间和家庭住址–来获得目标员工的信任。” “然后,行为人说服目标员工将发送一个新的VPN链接,并要求他们登录,包括任何2FA[双因素认证]或OTP[一次性密码]的安全凭据也一并通过这种方法获取,随后他们记录员工提供的信息,并实时使用该员工的账户访问企业工具。” 警报指出,在某些情况下,毫无戒备的员工批准了2FA或OTP提示,或者是意外地批准了。除此之外,攻击者能够通过针对员工的SIM卡交换来拦截一次性代码,这涉及到移动电话公司的社会工程人员,让他们控制目标的电话号码。 这些机构表示,骗子利用被盗用的VPN凭证在受害者公司数据库中挖掘客户的个人信息,以便在其他攻击中加以利用。 “然后,行为人利用员工的访问权限对受害者进行进一步的研究,和/或使用取决于被访问的平台的不同方法来欺诈性地获得资金,”警报中写道。”货币化方法根据公司的不同而不同,但具有高度的侵略性,在最初的违规行为和破坏性的兑现计划之间有一个紧凑的时间表。” 该警告包括一些公司可以实施的建议,以帮助减轻这些vishing攻击的威胁,包括。 – 限制VPN连接仅用于受管理设备,使用硬件检查或安装证书等机制,因此仅靠用户输入不足以访问企业VPN。 – 在适用的情况下,限制VPN的访问时间,以减轻允许时间以外的访问。 – 采用域名监控,跟踪企业、品牌域名的创建或变更。 – 积极扫描和监控网络应用,以防止未经授权的访问、修改和异常活动。 – 采用最低权限原则,实施软件限制政策或其他控制措施;监控授权用户的访问和使用。 – 考虑对通过公共电话网络进行的员工与员工之间的通信采用正式的认证程序,并在其中使用第二种因素,以在讨论敏感信息之前,对电话进行认证。 – 改进2FA和OTP信息传递,以减少员工认证尝试的混乱。 – 确认网络链接没有拼写错误或包含错误的域名。 – 将正确的企业VPN URL加入书签,不要仅凭呼入的电话访问其他URL。 – 对自称来自合法组织的不明身份者的主动电话、访问或电子邮件信息要保持警惕。不要提供个人信息或有关您的组织的信息,包括其组织结构、组织结构和组织结构。 (稿源:cnBeta,封面源自网络。)
3 款流行 VPN 会泄露用户真实 ip 等隐私信息
近日,有研究人员发现 HotSpot Shield、PureVPN 和 Zenmate 这三款流行 VPN 存在安全问题,会泄露用户真实 ip 等隐私信息,影响数百万用户。用户真实 ip 泄露后,真实身份、实际地址等信息也会被顺藤摸瓜找到。 据了解,免费的 HotSpot Shield Chrome 插件中存在三个严重漏洞:劫持全部流量(CVE-2018-7879)、DNS泄露(CVE-2018-7878)、真实 ip 地址泄露(CVE-2018-7880)。目前这三个漏洞已经被修复,桌面版和手机端的 HotSpot Shield 不受漏洞影响。不过 PureVPN 和 Zenmate 中的漏洞还尚未修复,且 Zenmate 中的问题最为严重。 稿源:freebuf,封面源自网络;
Hotspot Shield VPN 产品被曝安全漏洞,或泄漏用户敏感信息
外媒 2 月 7 日消息,独立安全研究员 Paulos Yibelo 上个月发现,一款名为 Hotspot Shield (热点盾)的 VPN 产品存在一个严重的安全漏洞,可能会泄露用户的敏感信息(如 Wi-Fi 网络名称 、真实 IP 地址等)。据 Yibelo 称,该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 JSONP 端点,从而获取有关 Hotspot Shield 服务的敏感信息(其中包括其配置详细信息)。 Hotspot Shield 由 AnchorFree 公司开发,是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务,在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动,承诺隐藏用户的 IP 地址和身份,并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。 Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞(被指定为 CVE-2018-6460), 并且还发布了一个概念验证代码(PoC)来证实该漏洞的可利用性。 尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址,不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在,但不会泄露任何用户的真实 IP 地址或者个人信息。值得注意的是,AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息(如用户所在的国家)。 除了泄露信息之外,Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行,不过目前并无确实证据。 消息来源:Thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
备忘录泄露揭示美国安全局重大机密?门罗币所有者或成下一追踪目标
外媒 2 月 5 日报道,一张网上流转的备忘录照片中揭示了美国陆军网络保护团队(CPT)和美国安全局(NSA)的部分敏感信息:其中包括泄露 Tor、I2P、VPN 用户,开展追踪门罗币的联合项目等。 匿名网络对打击审查和确保言论自由至关重要,因此研究人员对这些追踪活动的意图尤为重视。 研究人员发现,该备忘录明确指出了泄露基于 CryptoNote 的加密货币所面临的困难。 CryptoNote 是在若干分散以及面向隐私的数字货币方案中实现的应用层协议,其要求分配额外的资源来跟踪 Monero(XMR)、Anonymous Electronic Online Coin(AEON)、DarkNet Coin(DNC)、Fantomcoin(FCN)和 Bytecoin(BCN)等匿名加密货币。 美国当局指出, Monero 可能将会成为地下罪犯中的主要加密货币。此外,相关安全专家称美国情报部门还利用内部资源针对区块链开展监视活动。 DeepDotWeb 的研究人员向一些相关人士求证后,认为该备忘录信息很可能是真实的。不过 Tor、I2P 和 VPN 似乎还没有被情报机构完全掌握,虽然攻击者已经提出并实施了揭露用户的技术,但是这些技术对于监测行动并不十分有效。 根据爱德华·斯诺登(Edward Snowden)披露的一份文件显示,美国国家安全局可以根据易受攻击的 VPN 协议(如 PPTP )来屏蔽 VPN 解决方案,但依赖于 OpenVPN 的 VPN 可能不会受到影响。目前还不清楚是谁泄露了备忘录,但人们推测很可能是故意发布的。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
PureVPN 日志被指帮助 FBI 识别网络骚扰者
一家自称不记录日志的香港 VPN 服务商 PureVPN 被指帮助 FBI 抓住一名网络骚扰者。24 岁的麻省居民 Ryan Lin 于上周被捕,被指通过网络大肆骚乱前室友 Jennifer Smith。 据悉,Lin 是通过 Craigslist 上的广告而在 2016 年 4 月底/ 5 月初成为 Smith 的室友,Smith 的房间没有锁,她有一台 MacBook 笔记本电脑也没有密码保护,其中还有一份文件储存了她的所有在线账号的密码。在 Lin 入住不久他就表现出奇怪的行为,Smith 在 Lin 的请求下以 60 美元出售了大麻,当天凌晨 3 点他进入了她的卧室对她大吼,指控她在出售大麻上欺骗了他。此事发生不久她就搬了出去。Lin 通过短信暗示他已经窃取了她的所有在线账号密码,访问了她的 iCloud,Google Drive,查看了她的个人日志。 此外,Lin 还通过登录其账号以 Smith 的名义发送了炸弹恐吓、儿童色情和性暴露照片。FBI 的调查发现,Lin 使用了 Tor 和多个 VPN 服务来隐藏真实的 IP,他使用的一个 VPN 服务就是 PureVPN,而他同时还使用了另一个 VPN 服务 WANSecurity。讽刺的是,Lin 还在社交网络上抨击 VPN 服务商所谓的不记录日志是胡扯。 稿源:solidot奇客,封面源自网络;
免费 VPN 服务商被控与广告商分享用户流量
美国隐私倡导组织 Center for Democracy & Technology (CDT)向美国联邦贸易委员会(FTC)投诉 VPN 服务商 AnchorFree。 AnchorFree 总部位于加州硅谷,开发了受欢迎的免费 VPN 服务 Hotspot Shield(也有付费版本)。起诉书指控 AnchorFree 破坏了对用户的承诺,与在线广告商分享了用户的私人网络流量以改进广告展示。Hotspot Shield 会在免费用户浏览时插入广告,用户对此做法知情,CDT 没有指控 AnchorFree 秘密植入广告,而是指控该公司违反了不跟踪或出售用户信息的承诺。 稿源:solidot奇客,封面源自网络
俄罗斯屏蔽 VPN 的法律将于 11 月 1 日生效
俄罗斯总统普京此前签署禁止提供 VPN 和其它匿名技术访问被屏蔽网站的法律。据悉,该法律将于今年 11 月 1 日正式生效。俄罗斯议会下院国家杜马于 10 天前对该法案进行投票表决并获得一致通过,要求 ISP 屏蔽 VPN 和其它匿名网络技术。 国家杜马信息政策委员会负责人 Leonid Levin 称,法律无意对守法公民实施限制,只是想要屏蔽非法内容。暂时不清楚俄罗斯将会采取什么技术手段屏蔽匿名网络技术。 稿源:solidot奇客,封面来源网络;