UFO VPN, sıfır kayıt politikası iddiasına rağmen hizmet kullanıcıları hakkındaki, hesap şifreleri ve IP adresleri de dahil milyonlarca kayıt dosyasını sızdırdı.
Hong Kong merkezli VPN sağlayıcısı UFO VPN, kullanıcı kayıtları ve API erişim kayıtlarından oluşan bir veritabanını, hiçbir şifre veya diğer kimlik doğrulama gerekmeksizin erişime açık hale getirdi. Erişime açılan bilgiler arasında düz metin şifreler ve VPN kullanıcılarını tanımlamak ve online aktivitelerini takip etmek için kullanılabilecek bilgiler yer alıyordu.
Hem ücretli hem de ücretsiz UFO VPN kullanıcılarını etkileyen bu teşhiri Comparitech güvenlik araştırmaları ekibinin başında bulunan Bob Diachenko ortaya çıkardı. 1 Temmuz 2020 tarihinde erişime açık verileri keşfeder keşfetmez bunu şirkete bildirdi.
Kaç kullanıcının etkilendiği bilinmiyor ancak bulgular, o anda UFO VPN’e bağlanmış olan kullanıcıların tümünün potansiyel olarak etkilenmiş olabileceklerini gösteriyor. UFO VPN web sitesinde 20 milyon kullanıcıya sahip olduğu iddia ediliyor ve veritabanında gün başına 20 milyondan fazla kayıt teşhir edilmişti.
UFO VPN’e bir beyan gönderilmesi üzerinden iki haftadan fazla geçtikten sonra şirket veritabanını internetten kaldırdı ve “COVID-19 kaynaklı personel değişiklikleri nedeniyle sunucu güvenlik duvarında hataları derhal bulamadık ve bu da hacklenme riski yaratır. Ama artık bu sorun giderilmiştir,” şeklinde bir e-posta ile yanıt verdi.
Şirket sözcüsü, “Kaydetmek üzere hiçbir bilgi toplamıyoruz. Bu sunucuda toplanmış olan tüm veriler anonimdir ve yalnızca kullanıcının ağ performansı ve hizmet kalitesini artırma sorunlarını analiz etmek için kullanılır. Günümüze kadar hiçbir bilgi sızmamıştır,” dedi. [sic]
Ancak örnek verilere bakıldığında bunların anonim olduğu inandırıcı değil.
UFO VPN kullanıcılarına şifrelerini derhal değiştirmelerini ve aynı şifreyi kullandıkları diğer hesapları için de bunu yapmalarını tavsiye ederiz.
Hangi veriler sızdırıldı?
894 GB boyutundaki veri, korumasız Elasticsearch kümesi üzerinde depolandı. UFO VPN bu verilerin “anonim” olduğunu iddia etti ancak eldeki bilgiler ışığında, kullanıcı kayıtlarının ve API erişim kayıtlarının şu bilgileri içerdiği düşünülmektedir:
- Düz metin olarak hesap şifreleri
- VPN oturum sırları ve tokenleri
- Hem kullanıcı cihazları hem de bağlanmış oldukları VPN sunucularının IP adresleri
- Bağlantı zaman damgaları
- Coğrafi etiketler
- Cihaz ve OS özellikleri
- Reklamların ücretsiz kullanıcı web tarayıcılarına gönderildiği alan adları gibi görünen URL’ler
Bu bilgilerin birçoğu, UFO VPN’in gizlilik politikası ve sıfır kayıt politikası ile ters düşüyor:
“Sitemiz dışındaki kullanıcı etkinliklerini veya Hizmetlerimizi kullanan kullanıcıların web sitesi gezinme veya bağlantı etkinliklerini izlemiyoruz.”
UFO VPN gizlilik politikasını burada görebilirsiniz.
UFO VPN hakkında
UFO VPN, resmi web sitesinde 20 milyondan fazla kullanıcıya hizmet verdiğini söyleyen Hong Kong merkezli bir VPN sağlayıcısıdır. Sıfır kayıt politikası ve “banka düzeyinde koruma” sağladığını iddia etmesine rağmen durumu bunun doğru olmadığını göstermektedir.
Şifket hem ücretsiz hem de ücretli planlar sunmaktadır.
UFO VPN’in pazarlama kampanyası, içerik engellerini kaldırmaya odaklanmıştır. Engellenmiş web siteleri, uygulamalar ve coğrafi engelleri bulunan Netflix gibi video izleme hizmetlerine erişim vaat etmektedir.
Kaynak: https://www.comparitech.com/
Translated by Oytun Buyrukcu
Native Turkish Translator | English to Turkish Localization Expert
