VPN gratuite: attenzione alla sicurezza

In rete, così come negli Store di App mobile, è possibile trovare spesso alcuni software gratuiti per creare connessioni VPN (Virtual Private Network). Solitamente, se si cercano soluzioni di questo tipo di qualità è necessario scegliere servizi a pagamento o che comunque offrano qualche garanzia in più affidandoci magari a professionisti.

Il caso esemplare della potenziale fallacia di questi strumenti si è visto qualche giorno fa, quando è stato scoperto un importante data breach ai danni degli utenti di Bean VPN, applicazione gratuita scaricata da più di 50mila utenti Android nel Google Play Store. A causa di un bug non corretto presente in un’istanza Elasticsearch gli hacker sono riusciti a mettere le mani su un database di oltre 18 GB contenente i registri di connessione degli utenti di Bean VPN.

Considerando che Elasticsearch è un sistema che permette a chi lo utilizza di generare un motore di ricerca per grandi moli di dati alle aziende che lo utilizzano lato server. Se le istanze non sono protette in modo adeguato da connessioni esterne si possono potenzialmente rendere pubbliche le banche dati. Gli hacker sono perennemente alla ricerca di questo genere di falle di sistema ed in questo caso sono riusciti a centrare l’obiettivo.

Oltre al danno, per la società di distribuzione di Bean VPN, è arrivata anche la beffa, poiché questo data breach ha mostrato anche la violazione degli accordi di licenza che viene fatta stipulare dagli utenti finali. I dati persi sono circa 25 milioni e comprendono i log, le query e tutto ciò che gli utenti mettono a disposizione dell’App. Il problema è che nell’accordo si diceva che i dati messi a disposizione erano solamente quelli necessari.

Secondo Cybernews, portale che ha analizzato il data breach, nel database rubato sarebbero state ritrovate anche le informazioni che servono a rendere anonimi gli utenti, quindi adesso gli hacker potrebbero potenzialmente localizzare quest’ultimi. Oltretutto sarebbero stati trafugati anche gli indirizzi email utilizzati per il login al servizio.

Questo caso è l’ennesimo riguardante tali soluzioni VPN. Negli anni scorsi altre applicazioni di questo tipo hanno subito attacchi simili perdendo i dati dei propri utenti. È giusto però fare un distinguo tra tali sistemi e quelli opensource come OpenVPN, che sono scaricabili gratuitamente ma comprendono feature che li rendono più sicuri. Basti solo pensare alla quantità di controlli ed implementazioni in più necessarie a poter utilizzare tale soluzione in modo corretto.

Quando accettiamo le condizioni di una VPN gratuita dobbiamo pensare che, siccome mettiamo i nostri dati di navigazione e non solo in mano agli sviluppatori, essi potranno gestirli come vorranno. Se un’azienda sviluppa uno strumento gratuito dovrà sempre cercare qualche via per monetizzare, visto che non lo fa mediante i download. I dati valgono molto, ad esempio, e possono creare potenziali opportunità di business per le persone che le gestiscono all’interno dei propri server.

 

Fonte: 1