Les données utilisateurs de trois VPN Android auraient été piratées

Guillaume Belfiore
Lead Software Chronicler
03 mars 2021 à 12h24
18
VPN

Les bases de données de trois services VPN pour Android ont été piratées et les informations relatives à plusieurs millions d'utilisateurs ont été mises en vente.

Voilà une affaire pour le moins ironique. Si l'un des buts fondamentaux d'un service VPN est précisément de renforcer la sécurité de sa vie privée, les données personnelles de 21 millions d'utilisateurs Android se retrouvent désormais en vente.

21 millions de personnes affectées

Le magazine CyberNews, qui rapporte l'information, précise que les services SuperVPN, GeckoVPN, et ChatVPN ont été hackés. Ces éditeurs conçoivent une application VPN à destination des utilisateurs d'appareils Android.

À en juger par les chiffres du Play Store, SuperVPN aurait été téléchargé au moins 100 millions de fois tandis que GeckoVPN compte plus d'un million d'installations. De son côté ChatVPN a été choisi par 50 000 utilisateurs.

Un hacker a pu récupérer plusieurs données personnelles et les commercialise sur un forum. Au total, plus de 21 millions d'utilisateurs sont affectés. SuperVPN, GeckoVPN et ChatVPN n'ont pas commenté ce piratage.

Trois archives sont mises en vente. Le hacker donne même la possibilité de trier ces données en fonction des pays. Il affirme que parmi les informations personnelles collectées se trouvent :

  • les adresses e-mail ;
  • les noms d'utilisateur ;
  • les noms complets ;
  • les pays de résidence ;
  • les chaînes de mots de passe générées de manière aléatoire ;
  • les données relatives au paiement ;
  • le statut des membres premium avec la date d'expiration de leur souscription.

La sécurité des VPN remise en cause

CyberNews a pu récupérer un échantillon de ces données, lesquelles incluent également les informations relatives à l'appareil utilisé, et notamment le numéro de série, le type de smartphone, l'identifiant unique ainsi que les numéros IMSI.

Le hacker explique que ces données ont été exfiltrées de bases de données disponible « publiquement ». Plus précisément, ces dernières auraient été laissées vulnérables par les administrateurs qui ne se seraient pas donné la peine de modifier les identifiants et mots de passe par défaut.

Ce hack pose plusieurs problèmes. Tout d'abord, il semblerait que ces prestataires de services n'aient pas été totalement transparents envers leurs utilisateurs et collectent finalement bien plus de données qu'annoncé au sein de leur politique de vie privée.

Bien évidement, si le VPN sert à notamment à assurer une meilleure protection de sa vie privée, on s'interroge également sur les pratiques de ces éditeurs et sur la véracité des propos du hacker concernant l'accès à ces bases de données.

Comment choisir le meilleur VPN en 2024 ? Clubic a testé et comparé les performances et le niveau de sécurité des meilleurs fournisseurs du marché. Découvrez quel est le meilleur Réseau Privé Virtuel pour sécuriser votre connexion Internet.
Lire la suite

Source : CyberNews

Guillaume Belfiore

Lead Software Chronicler

Lead Software Chronicler

Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic. Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles...

Lire d'autres articles

Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic. Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles des navigateurs web, aux nouveaux smartphones mais aussi aux systèmes d'exploitation, aux questions de sécurité ou à l'actualité e-business en général. Sinon je dois avouer que j'ai un faible pour tout ce qui touche au web design et c'est généralement le code source d'une page web que je lis en premier.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (18)

thunderboy
VPN, Cloud, gestionnaires de mots de passe… à tort ou a raison, je reste éloigné de tous ces trucs.<br /> Pas envie de confier ma vie privée à des sociétés dont je ne connais rien.<br /> Par contre, il est vrai que j’abuse de la fonction «&nbsp;mot de passe oublié&nbsp;» ces derniers temps, vu que j’utilise un mot de passe unique pour chaque site…
Matrix-7000
Et bien voilà un bon argument pour ne pas se lancer sur le premier fournisseur venu, ni sur le moins cher, et encore moins sur le ou les plus populaires.<br /> Il ne faut pas oublier, que pour installer et maintenir une tell technologie, il faut des gens compétant, et des sociétés qui ont une sérieuse réputation.<br /> La réputation ne doit pas forcément venir du grand public, mais plutôt d’organisations non gouvernementales qui luttent en faveurs du respect des droits humains et qui utilisent le VPN pour permettre la transmission d’informations censurées par des états.<br /> Certains fournisseurs supportent et offrent leurs services gratuitement à ce genre d’associations, mais aussi à des personnes qui essayent de faire parvenir au monde ce qu’il se passe dans leur pays.<br /> N’oublions pas, que les variables d’ajustements des coûts, sont souvent les mêmes, à savoir, les salaires et la qualité/sécurité. Ce genre de services nécessitent des infrastructures très coûteuses et du personnel avec un niveau de qualification très élevé.
Oncle_Picsou
Dans ce cas, le mieux c’est d’utiliser une pass phrase avec variation, du style:<br /> JaimeLaPizz4!clubic<br /> JaimeLaPizz4!youtube<br /> Et pour un peu plus de sécurité tu peux rajouter un nombre supplémentaire, en apparence aléatoire, par ex «&nbsp;JaimeLaPizz4!clubic6&nbsp;» (6 = nombre lettres de «&nbsp;clubic&nbsp;»).<br /> Et ca, pas de risque de l’oublier ^^
cirdan
thunderboy:<br /> Par contre, il est vrai que j’abuse de la fonction « mot de passe oublié » ces derniers temps, vu que j’utilise un mot de passe unique pour chaque site…<br /> Je suis également très réticent avec tous les gestionnaires de mots de passe qui synchronisent.<br /> Tu devrais essayer «&nbsp;KeePass&nbsp;». C’est sauvegardé en local, pas de connexions vers des serveurs, et avec un mot de passe principal fort, que tu peux également associer à un fichier, tu ne risques pas grand chose. Un peu austère comme interface mais vraiment très pratique.
juju251
+1 avec cirdan pour Keepass.<br /> Et perso, synchroniser des mots de passe dans le «&nbsp;cloud&nbsp;», c’est non. <br /> Pour revenir au sujet de l’article, c’est dingue de voir que des fuites de données proviendraient encore de bases de données configurées avec des mots de passe par défaut.
ramses_deux
Il y a une solution a ca.<br /> Utiliser une astuce mnemonique. Une espece d’equation ou de fonction dont tu te souviens et qui permet d’affecter un mot de passe different sur chaque site/application sans en oublier aucune.<br /> Example avec clubic.com:<br /> Majuscule(MP)+(premiere_lettre_domaine+2)+nom_du_chat+(derniere_lettre_domaine+1)+(charactere_special[’**’])+(chiffre[01])<br /> Ce qui nous donne pour un mot de passe de compte pour le site Clubic.com<br /> MPechatd**01<br /> Pour Google.com:<br /> MPichatf**01<br /> Les majuscules car par mal de sites demandent au moins un majuscule<br /> Un ou Des caracteres speciaux, car ils sont souvent demande egalement<br /> Un chiffre ou nombre car souvent demande egalement.<br /> Cela peu paraitre complique, mais en fait pas vraiement.<br /> Et le HASH de MPechatd01 vs le HASH de MPichatf01 n’a absolument rien a voir dans la BDD du site <br /> Voila, enfin c’etait une simple suggestion.<br /> Tellement de monde autour de moi qui galere avec les mots de passe, et je ne fais pas confiance au application de mdp non plus.<br /> EDIT:<br /> Grilled par @Oncle_Picsou
Proutie66
Je trouve que les mots de passe généré automatiquement et proposé par Google, Safari et autres sont aussi une bonne solution.<br /> J’ai moins peur que Google se fasse hacker ses mots de passe qu’un ptit éditeur du coin.<br /> Le meilleur mot de passe est celui qu’on ne connait pas car il est trop compliqué.<br /> On ne devrait en connaître qu’un (même pas…), qui centralise les autres. Celui-ci étant doublé par des systèmes d’auth plus forte (sms, apps…)<br /> Les propositions automatique faisant le reste, sur les sites tiers.
yabadabado
android est le pire OS mobile au niveau sécurité au contraire de IOS ! au niveau des mots de passe, incorporez * et # …<br /> #S4lUTJ3m4pP3Ll3Y4Ba##<br /> edit : c’est quoi ce bug CLUBIC ?? on ne peut pas utiliser des étoiles dans nos commentaires ??
yabadabado
mot de passe winrar Hachable en quelques secondes!
kyosho62
yabadabado:<br /> edit : c’est quoi ce bug CLUBIC ?? on ne peut pas utiliser des étoiles dans nos commentaires ??<br /> Le problème devrait être réglé.
yabadabado
test ****<br /> edit : Merci
yabadabado
pas besoin de tutos le script-kiddie. soit …
juju251
On revient au sujet et on évite les joutes stériles, merci.
max_971
Les services VPN devraient utiliser les services de cloud sécurisé comme ça tout le monde est content.
Voir tous les messages sur le forum