Les données utilisateurs de trois VPN Android auraient été piratées

03 mars 2021 à 11h25
18
VPN

Les bases de données de trois services VPN pour Android ont été piratées et les informations relatives à plusieurs millions d'utilisateurs ont été mises en vente.

Voilà une affaire pour le moins ironique. Si l'un des buts fondamentaux d'un service VPN est précisément de renforcer la sécurité de sa vie privée, les données personnelles de 21 millions d'utilisateurs Android se retrouvent désormais en vente.

21 millions de personnes affectées

Le magazine CyberNews, qui rapporte l'information, précise que les services SuperVPN, GeckoVPN, et ChatVPN ont été hackés. Ces éditeurs conçoivent une application VPN à destination des utilisateurs d'appareils Android.

À en juger par les chiffres du Play Store, SuperVPN aurait été téléchargé au moins 100 millions de fois tandis que GeckoVPN compte plus d'un million d'installations. De son côté ChatVPN a été choisi par 50 000 utilisateurs.

Un hacker a pu récupérer plusieurs données personnelles et les commercialise sur un forum. Au total, plus de 21 millions d'utilisateurs sont affectés. SuperVPN, GeckoVPN et ChatVPN n'ont pas commenté ce piratage.

Trois archives sont mises en vente. Le hacker donne même la possibilité de trier ces données en fonction des pays. Il affirme que parmi les informations personnelles collectées se trouvent :

  • les adresses e-mail ;
  • les noms d'utilisateur ;
  • les noms complets ;
  • les pays de résidence ;
  • les chaînes de mots de passe générées de manière aléatoire ;
  • les données relatives au paiement ;
  • le statut des membres premium avec la date d'expiration de leur souscription.

La sécurité des VPN remise en cause

CyberNews a pu récupérer un échantillon de ces données, lesquelles incluent également les informations relatives à l'appareil utilisé, et notamment le numéro de série, le type de smartphone, l'identifiant unique ainsi que les numéros IMSI.

Le hacker explique que ces données ont été exfiltrées de bases de données disponible « publiquement ». Plus précisément, ces dernières auraient été laissées vulnérables par les administrateurs qui ne se seraient pas donné la peine de modifier les identifiants et mots de passe par défaut.

Ce hack pose plusieurs problèmes. Tout d'abord, il semblerait que ces prestataires de services n'aient pas été totalement transparents envers leurs utilisateurs et collectent finalement bien plus de données qu'annoncé au sein de leur politique de vie privée.

Bien évidement, si le VPN sert à notamment à assurer une meilleure protection de sa vie privée, on s'interroge également sur les pratiques de ces éditeurs et sur la véracité des propos du hacker concernant l'accès à ces bases de données.

Comment choisir le meilleur VPN ? Clubic a testé et comparé les performances et le niveau de sécurité de 10 fournisseurs pour établir ce comparatif VPN
Lire la suite

Source : CyberNews

Modifié le 03/03/2021 à 12h24
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
18
12
thunderboy
VPN, Cloud, gestionnaires de mots de passe… à tort ou a raison, je reste éloigné de tous ces trucs.<br /> Pas envie de confier ma vie privée à des sociétés dont je ne connais rien.<br /> Par contre, il est vrai que j’abuse de la fonction «&nbsp;mot de passe oublié&nbsp;» ces derniers temps, vu que j’utilise un mot de passe unique pour chaque site…
Matrix-7000
Et bien voilà un bon argument pour ne pas se lancer sur le premier fournisseur venu, ni sur le moins cher, et encore moins sur le ou les plus populaires.<br /> Il ne faut pas oublier, que pour installer et maintenir une tell technologie, il faut des gens compétant, et des sociétés qui ont une sérieuse réputation.<br /> La réputation ne doit pas forcément venir du grand public, mais plutôt d’organisations non gouvernementales qui luttent en faveurs du respect des droits humains et qui utilisent le VPN pour permettre la transmission d’informations censurées par des états.<br /> Certains fournisseurs supportent et offrent leurs services gratuitement à ce genre d’associations, mais aussi à des personnes qui essayent de faire parvenir au monde ce qu’il se passe dans leur pays.<br /> N’oublions pas, que les variables d’ajustements des coûts, sont souvent les mêmes, à savoir, les salaires et la qualité/sécurité. Ce genre de services nécessitent des infrastructures très coûteuses et du personnel avec un niveau de qualification très élevé.
Oncle_Picsou
Dans ce cas, le mieux c’est d’utiliser une pass phrase avec variation, du style:<br /> JaimeLaPizz4!clubic<br /> JaimeLaPizz4!youtube<br /> Et pour un peu plus de sécurité tu peux rajouter un nombre supplémentaire, en apparence aléatoire, par ex «&nbsp;JaimeLaPizz4!clubic6&nbsp;» (6 = nombre lettres de «&nbsp;clubic&nbsp;»).<br /> Et ca, pas de risque de l’oublier ^^
PierreKaiL
Idem pour moi <br /> Pour les mots de passe perso je les mets tout simplement dans un fichier txt que je compresse avec winrar avec mot de passe, je n’ai plus qu’un mot de passe à vraiment retenir en cas de doute de tous les autres, uniques pour chaque besoin évidement, je n’ai plus qu’à copié-collé pour les utiliser si besoin aussi, ce qui permet de faire des bons gros pass avec pleins pleins de caractères au passage, sans me soucier de devoir le retenir, bien souvent c’est chrome qui s’en occupe aussi d’ailleurs (de les retenir).
cirdan
thunderboy:<br /> Par contre, il est vrai que j’abuse de la fonction « mot de passe oublié » ces derniers temps, vu que j’utilise un mot de passe unique pour chaque site…<br /> Je suis également très réticent avec tous les gestionnaires de mots de passe qui synchronisent.<br /> Tu devrais essayer «&nbsp;KeePass&nbsp;». C’est sauvegardé en local, pas de connexions vers des serveurs, et avec un mot de passe principal fort, que tu peux également associer à un fichier, tu ne risques pas grand chose. Un peu austère comme interface mais vraiment très pratique.
juju251
+1 avec cirdan pour Keepass.<br /> Et perso, synchroniser des mots de passe dans le «&nbsp;cloud&nbsp;», c’est non. <br /> Pour revenir au sujet de l’article, c’est dingue de voir que des fuites de données proviendraient encore de bases de données configurées avec des mots de passe par défaut.
ramses_deux
Il y a une solution a ca.<br /> Utiliser une astuce mnemonique. Une espece d’equation ou de fonction dont tu te souviens et qui permet d’affecter un mot de passe different sur chaque site/application sans en oublier aucune.<br /> Example avec clubic.com:<br /> Majuscule(MP)+(premiere_lettre_domaine+2)+nom_du_chat+(derniere_lettre_domaine+1)+(charactere_special[’**’])+(chiffre[01])<br /> Ce qui nous donne pour un mot de passe de compte pour le site Clubic.com<br /> MPechatd**01<br /> Pour Google.com:<br /> MPichatf**01<br /> Les majuscules car par mal de sites demandent au moins un majuscule<br /> Un ou Des caracteres speciaux, car ils sont souvent demande egalement<br /> Un chiffre ou nombre car souvent demande egalement.<br /> Cela peu paraitre complique, mais en fait pas vraiement.<br /> Et le HASH de MPechatd01 vs le HASH de MPichatf01 n’a absolument rien a voir dans la BDD du site <br /> Voila, enfin c’etait une simple suggestion.<br /> Tellement de monde autour de moi qui galere avec les mots de passe, et je ne fais pas confiance au application de mdp non plus.<br /> EDIT:<br /> Grilled par @Oncle_Picsou
Proutie66
Je trouve que les mots de passe généré automatiquement et proposé par Google, Safari et autres sont aussi une bonne solution.<br /> J’ai moins peur que Google se fasse hacker ses mots de passe qu’un ptit éditeur du coin.<br /> Le meilleur mot de passe est celui qu’on ne connait pas car il est trop compliqué.<br /> On ne devrait en connaître qu’un (même pas…), qui centralise les autres. Celui-ci étant doublé par des systèmes d’auth plus forte (sms, apps…)<br /> Les propositions automatique faisant le reste, sur les sites tiers.
yabadabado
android est le pire OS mobile au niveau sécurité au contraire de IOS ! au niveau des mots de passe, incorporez * et # …<br /> #S4lUTJ3m4pP3Ll3Y4Ba##<br /> edit : c’est quoi ce bug CLUBIC ?? on ne peut pas utiliser des étoiles dans nos commentaires ??
yabadabado
mot de passe winrar Hachable en quelques secondes!
kyosho62
yabadabado:<br /> edit : c’est quoi ce bug CLUBIC ?? on ne peut pas utiliser des étoiles dans nos commentaires ??<br /> Le problème devrait être réglé.
PierreKaiL
Mais oui biensur… 1.5 seconde même je dirai… mdr… Ce n’est pas d’une sécurité absolu c’est sur mais ce n’est pas aussi simple que tu le suggères (faut arrêter de regarder les tutos foireux de youtube) et ça suffit bien à mon utilisation. Bon ceci dit j’ai noté keepass, cela fait qq temps que je l’ai sous le coude pour le tester.
yabadabado
test ****<br /> edit : Merci
yabadabado
pas besoin de tutos le script-kiddie. soit …
PierreKaiL
Wouahou tu sais faire des étoiles, je suis impressionné, je t’ai envoyé un petit défi en message privé Mr 2sec.
juju251
On revient au sujet et on évite les joutes stériles, merci.
PierreKaiL
Bonjour, ce n’est pas une joute stérile et je suis dans le sujet (selon mon humble point de vue). Mr dit qu’il me crack mon rar avec mot de passe en 2 sec, soit c’est vrai (et j’applaudis sa performance), soit c’est de la désinformation, on parle de sécurité non ?<br /> C’est trop facile de balancer des trucs comme ça…<br /> PS: merci de ne pas avoir supprimé mon message
max_971
Les services VPN devraient utiliser les services de cloud sécurisé comme ça tout le monde est content.
Voir tous les messages sur le forum

Lectures liées

Les ingénieurs de Shopify partent en guerre contre... les robots acheteurs de baskets
Suite à une faille sur GitKraken, les plateformes GitHub, GitLab et BitBucket révoquent massivement des clés SSH
Sécurité : quelles sont les attaques les plus rentables pour les pirates, comment s'en protéger ?
Une enquête confirme qu'Amazon fait des copies de produits sous sa propre marque
Deux jours après une gigantesque panne provoquée par un mauvais copier-coller, OVH entre en Bourse
Pourquoi la plateforme Francetest, spécialisée dans les résultats de tests COVID-19, a t-elle été épinglée par la CNIL ?
Si votre commune a un nom un peu long... un bug pourrait empêcher la préfecture de créer votre carte d’identité
Facebook élargit ses tests de fils d’actualité « moins politiques » à 75 pays
Plusieurs vulnérabilités dans le page builder Brizy mettent des sites Wordpress à risque
L’Union européenne envisage d’interdire l’enregistrement anonyme de domaines
Haut de page