El 26 de febrero se descubrió que un foro informático de hacking vende las bases de datos de tres VPN de Android: SuperVPN, GeckoVPN y ChatVPN que contienen registros de 21 millones de usuarios, confirmó la página cybernews.com.
Estas tres bases de datos, que pueden ser compradas por cualquier persona, proceden de aplicaciones disponibles en Google Play en versiones gratuitas y de pago.
El problema surge porque, aunque se haya pagado por el servicio VPN de Android, los datos de los usuarios pueden estar a la venta al mejor postor, como si fuera un anuncio de segunda mano, alertó.
“El usuario del foro está vendiendo datos de dispositivos profundamente sensibles y credenciales de inicio de sesión”, como direcciones de correo electrónico de los usuarios, sus nombres de registro, el país de procedencia, sus contraseñas, cadenas de contraseñas generadas aleatoriamente, los datos de pago del servicio VPN, estado de miembro premium e incluso cuando caduca su suscripción.
“El autor de la publicación en el foro también ofrece a los compradores potenciales ordenar los datos por país. Las cadenas de contraseña aleatorias pueden indicar que las cuentas de usuario de VPN podrían estar vinculadas con sus cuentas en la tienda de Google Play desde donde los usuarios descargaron sus aplicaciones de VPN.”
Para hacer la compra, el anunciante debe indicar su usuario del servicio de mensajería Telegram y ofrecer muestras de los datos obtenidos. Pueden ser por país para obtener datos concretos de localización.
“Escudriñando los archivos de muestra podemos encontrar más datos expuestos, como los números de serie de los dispositivos en los que instalaron las VPN para Android, el fabricante del smartphone, la ID (Identificación) del mismo y hasta los números IMSI (International Mobile Subscriber Identity) de los teléfonos.”
El problema, según hipertextual.com, no está en la aplicación de VPN en sí, sino en un defecto que afecta a muchas empresas que ofrecen servicios en línea, lo cual es irónico porque una empresa dedicada a la seguridad no tiene seguridad para guardar la información de sus clientes.
“El propio anunciante que ha puesto estos datos en venta afirma que las tres bases de datos que ha obtenido estaban disponibles públicamente. La razón de esta vulnerabilidad es que los desarrolladores de las aplicaciones VPN para Android mantuvieron en las bases de datos las credenciales por defecto. Un error que podemos cometer todos, pero que supone un problema de imagen enorme cuando hablamos de proveedores VPN.”
Por eso, recomiendan que, al elegir una VPN, los usuarios verifiquen que ésta no registre sus actividades en línea ni recopile sus datos porque los autores de las amenazas pueden robar esa información y usarla en contra de los mismos usuarios.
