Il data leak

VPN gratuite, un problema di spionaggio dati: il caso Bean VPN

Grandi quantità di dati utente accessibili pubblicamente online: è una delle conseguenze del massiccio data leak che ha investito Bean VPN, un’app Android gratuita. Un incidente di sicurezza che ci consente di valutare gli impatti della scelta di un software gratuito per proteggere la nostra connessione a Internet

17 Giu 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È stato rilevato un leak dalle dimensioni importanti relativo a dati di utenti Internet che affidavano la proprio sicurezza nella navigazione all’utilizzo di software VPN gratuiti. Nello specifico, si tratta dell’app Bean VPN, con oltre 50.000 download all’attivo dal Google Play Store.

Il leak di Bean VPN

L’incidente di sicurezza dei dati che ha interessato l’app mobile prodotta e gestita da IMSOFT è stato tracciato da Cybernews. In particolare, i ricercatori hanno rilevato un’istanza Elasticsearch non adeguatamente protetta, che ha prodotto la perdita di un database aperto contenente registri di connessione da 18,5 GB generati appunto dall’app Bean VPN.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

Elasticsearch è una soluzione server che consente di creare un motore di ricerca largamente diffuso e utilizzato dalle aziende che, nelle loro attività quotidiane, hanno a che fare con grandi quantità di dati. Quando l’istanza Elasticsearch viene esposta a Internet, senza che sia adeguatamente protetta per l’accesso dall’esterno, tutto il contenuto che il motore di ricerca riesce a filtrare viene automaticamente reso pubblico e attori malevoli che scansionano la Rete monitorando situazioni come questa possono aver accesso a questi grandi contenuti.

Il rischio è sempre per l’utente finale che ha affidato alla società di gestione della VPN tutti i suoi dati, prodotti da registri, log, query DNS e tutto ciò che esce da un utilizzo casalingo di Internet.

Questi dati comprendono circa 25 milioni di record. Nel caso specifico, inoltre, Cybernews evidenzia che, in base ai dati che sono stati trovati nel data breach, la società IMSOFT (produttrice di Bean VPN) avrebbe violato i termini della licenza che fa sottoscrivere agli utenti. Nella quale, infatti, si afferma che vengono conservati “solo i dati minimi necessari per gestire un servizio VPN di livello mondiale su larga scala”.

Mentre invece Cybernews afferma che “le informazioni trovate in questo database potrebbero essere utilizzate per anonimizzare gli utenti di BeanVPN e trovare la loro posizione approssimativa utilizzando database geo-IP. L’ID del servizio potrebbe anche essere utilizzato per scoprire l’indirizzo e-mail dell’utente che ha effettuato l’accesso al proprio dispositivo”.

La sicurezza delle VPN gratuite

L’incidente appena riportato da Cybernews non è il primo di questa tipologia, in tempi recenti. Già nel 2020 SuperVPN veniva colpito con l’esfiltrazione di dati degli utenti dai propri server, con massicci data breach. Nel 2021 GeckoVPN, di nuovo SuperVPN e ChatVPN (tutte soluzioni VPN gratuite), subirono un furto di dati, che venne poi archiviato in un pacchetto unico di 10 GB e distribuito illegalmente tramite diversi canali Telegram.

Rimane quindi da chiedersi quanto le soluzioni VPN free siano sicure per l’utente finale. Forse andrebbe a questo punto fatta una riflessione tra costi e benefici di certe categorie di prodotto.

In questo caso, infatti, stiamo regalando (di fatto, quindi, il software non è più gratuito) una quantità di dati, orari, tabulati, siti Web visitati, indirizzi e-mail e qualsiasi dato transiti per Internet, a una società terza che non è il nostro provider di connessione Internet, non è nemmeno un nostro fornitore IT, ma è semplicemente un’azienda che ci sta “regalando” un servizio VPN.

Spesso non sapendo nemmeno chi ci sia dietro questo servizio, accettiamo termini e licenze d’uso. Di fatto, quindi, non sapendo chi conserverà questi dati e come.

La storia più recente ci insegna che non è una buona idea affidare tutti i dati in uscita dalla nostra connessione ad un servizio di VPN gratuito perché non avrà a cuore (presumibilmente) la sicurezza di questi dati che noi, e tutti gli utenti che la utilizzano, produciamo semplicemente navigando.

Un servizio gratuito, infatti, in quanto tale, non può produrre reddito da affiliazioni e abbonamenti. Per poter stare in piedi, però, ha bisogno di fare business. Questo business, oltre a determinate campagne di sponsorizzazioni, è proprio generato dai nostri dati: una grande ricchezza che “regaliamo” senza nemmeno pensarci o accorgerci.

Noi utilizziamo la VPN gratis, l’azienda nel frattempo conserva tutto ciò che esce dalla nostra connessione (che passa per i loro server, prima di arrivare a destinazione), producendo una grande quantità di dati, nostri, che possono essere a tutti gli effetti, merce di scambio per produrre ricchezza, all’azienda che produce il servizio.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5