В Сеть выложена гигантская база данных бесплатного VPN с данными о пользователях, посещавших «сомнительные» сайты

Солидный улов

Исследователь из команды Cybernews обнаружили в Сети незащищенную базу данных ElasticSearch, содержащую информацию о пользователях бесплатного VPN-сервиса Airplane Accelerates.

База данных представляет собой коллекцию логов (журналов) активности пользователей в интернете, включая идентификатор, исходные (с которых осуществлялось подключение) и целевые IP-адреса, а также доменные имена посещенных сайтов и временные метки. Суммарно база содержит 5,7 млрд записей и «весит» около 626 ГБ.

Как отметил Арас Назаровас (Aras Nazarovas), исследователь, обнаруживший базу данных, утечка может быть использована заинтересованными лицами для деанонимизации и слежки за пользователями VPN-сервиса. Он также добавил, что изучение Android-приложения Airplane Accelerates показало наличие в нем возможностей по удаленному выполнению кода на мобильном устройстве и «шпионских» функций.

Фрагмент из обнаруженного Cybernews хранилища логов

Специалист также заявил, что не уверен в правильности и надежности работы Android-версии Airplane Accelerates. «В зависимости от реализации, приложение [Airplane Accelerates] может шифровать только веб-трафик, но не трафик операционной системы или других приложений, – поясняет Назаровас. – Хоть антивирусы и не определяют это приложение как вредоносное, проведенный нами анализ позволяет говорить о некоторых тревожных признаках».

Как сообщил в декабре 2021 г. CNews, по мнению аналитиков компании Consumer Reports, современные VPN-сервисы регулярно вводят своих пользователей в заблуждение и не предоставляют им заявленных возможностей в полном объеме.

Аудитория сервиса – десятки или сотни тысяч человек

Исследователи считают, что аудитория сомнительного VPN-сервиса на всех платформах – Windows macOS, iOS, Android – может достигать десятков или даже сотен тысяч человек. К такому выводу они пришли, посчитав отзывы на соответствующую версию приложения для iOS в App Store – всего получилось около 3 тыс. только в китайском сегменте магазина.

Впрочем, желающих дать словесную оценку приложению в глобальном App Store оказалось существенно меньше, отмечают эксперты, не приводя при этом точного значения.

Цель – поиск неугодных режиму

Исследователи Cybernews провели «вскрытие» Android-версии приложения Airplane Accelerates и обнаружили «зашитый» внутрь список доменов, включающий адреса: иных поставщиков услуг VPN; сайтов с содержимом порнографического и антикитайского характера; веб-ресурсов, предлагающих открытые инструменты для обхода интернет-цензуры (к таковым, к примеру, можно отнести Tor; – прим. CNews); хранилищ хакерских инструментов; социальных сетей и поисковых систем. Эксперты не уточняют, для чего именно используются эти значения-константы, однако можно предположить, что именно факт посещения указанных типов интернет-ресурсов фиксируется в логах VPN-сервиса.

Черные лебеди в ИБ: как поймать и к чему готовиться? Защита данных

Важно, что в упомянутом перечне отсутствуют какие-либо китайские сайты. Из этого факта исследователи делают вывод о том, что целью приложения является – отслеживание действий людей, посещающих неугодных официальному Пекину веб-ресурсов.

Подозрительное поведение

Эксперты Cybernews отмечают, что Android-приложение Airplane Accelerates запрашивает подозрительно много разрешений при установке: от доступа к камере и микрофону, до прав на изменение контактов, доступа к внешнему хранилищу и установке пакетов.

По мнению Назароваса, это указывает на то, что приложение на самом деле собирает гораздо больше разнообразных данных, чем удалось обнаружить в 626-гигабайтной базе Elasticsearch. Просто хранится она на другом, пока не обнаруженном сервере.

Кто стоит за сервисом

Дальнейшее расследование Cybernews привело к владельцу и оператору бесплатного VPN-приложения. Им оказалась австралийская AP Network PTY Ltd.

10 простых шагов: Как выйти на новые внешние рынки с помощью платформы «Мой экспорт» Бизнес

Это мельбурнская компания, которая называет себя поставщиком облачных сервисов по модели IaaS (инфраструктура как сервис). Помимо этого, она оказывает услуги по проектированию сетевой инфраструктуры, веб-дизайну, цифровому маркетингу, занимается консалтингом. На страницах ее официального веб-сайта название Airplane Accelerates не фигурирует.

Специалисты Cybernews попытались связаться с AP Network, как только обнаружили базу логов в свободном доступе, однако по прошествии месяца так и не получили ответа от представителей компании.