BeanVPN の 2500 万人分のデータが流出:ポリシー違反の ElasticSearch が放置されている

25 million free VPN user records exposed

2022/06/15 CyberNews — 無料の VPN ソフトウェアが、18GB 以上の接続ログを公開/放置するというインシデントがあった。このデータベースを悪用する脅威アクターたちにより、ユーザーや居場所の特定がや可能になるかもしれない。Cybernews チームは、BeanVPN アプリにより生成された、18.5GBの 接続ログなどを取り込んだオープンなデータベースを発見した。このデータセットには、ユーザー・デバイス/Play Service ID/IP アドレス/接続タイムスタンプなどの診断情報を含む、2500万件以上のレコードが含まれていた。

Cybernews の Security Researcher である Aras Nazarovas は、「このデータベースで見つかった情報は、BeanVPN のユーザーを非匿名化し、geo-IP データベースを使用して位置を見つけ出すために使用できた。また、Play Service ID は、ユーザーがデバイスにサインインするときに用いる、メールアドレスを見つけるために使用できる」とは述べている。

私たちのチームが、定期点検中に発見した ElasticSearch のインスタンスは、現在閉鎖されている。BeanVPN の開発会社である IMSOFT に対して、Cybernews は繰り返しコメントを求めているが、この記事の執筆時点では回答が得られていない。


IMSOFT は、「世界レベルの VPN サービスを、大規模に運用するために必要な最低限のデータのみを収集する」という、自社のプライバシー・ポリシーに違反したようだ。

同社のプライバシー・ポリシーには「閲覧履歴/トラフィック先/データ内容/DNS クエリのログを含めて、ユーザーのアクティビティ・ログを収集することは無い。また、ユーザーの IP アドレス/VPN 接続の IP アドレス/接続のタイムスタンプ/セッション時間などの、接続ログを保存することも無い。当社は、ユーザーに関する機密データを持たないようにシステムを設計している。たとえ強制されても、私たちが保有していないデータを提供することはできない」と書かれている。

さらに同社は、オフィスや情報保管施設を保護するために、クラス最高の物理的/手続き的/技術的なセキュリティに基づき、ユーザー情報を保護することを強調している。しかし、公開されている情報では、同社のオフィスは、ルーマニアのブカレストにあるマンションだけのようである。

BeanVPN アプリは、Google Play ストアから5万回以上もダウンロードされているが、App Store では提供されていない。Beanvpn.com の Web サイトは、同社のアプリである Telefly MTProto Proxy Servers for Telegram の宣伝に使用されている。


数千のオープンデータベース

IMSOFT はプライバシー・ポリシーの中で、「世界中の、どのようなデータ・セキュリティ対策も 100% の保護を提供することはできない」と述べている。そして、今回の VPN データ流出が、初めて目撃されたことではないため、真実が含まれているとも言えるだろう。

2021年3月に Cybernews チームは、SuperVPN/GeckoVPN/ChatVPN から流出した、2100万人分のデータが入った3つのデータベースを発見した。ダークウェブで販売されていた情報には、メールアドレスや、パスワード (SuperVPN/GeckoVPN なハッシュ、ChatVPN は平文)、ユーザーのフルネーム、国籍と支払い情報などが含まれていた。

また、オープンなElasticsearchインスタンスに出くわしたのは、今回が初めてではない。これは、常に更新される大量のデータを扱う企業で好まれている検索エンジンである。

最近では、Cybernews のチームが、数百万台の車両に関するデータセットが、一般に公開されていることを発見したが、それは、英国の法執行機関のものと思われる。また、雇用検索エンジンが ElasticSearch インスタンスを公開していたことで、イタリアと東ヨーロッパの求職者が危険にさらされていることが判明した。

また、Secureworks の研究者たちは、データベース所有者に対して、身代金のメモを残した脅威者により消去された、1,200以上の Elasticsearch のデータセットを発見している。彼らは 450件以上に対して身代金を要求しており、その総額は $280,000 以上にのぼる。

このような活動が観られるのは、Elasticsearch に限ったことではない。2020年に、ある脅威アクターが、Elasticsearch や MongoDB などに保存された、安全ではない 1000 以上のデータベース・ファイルが、”ニャー “という言葉に置き換えられた。

昨年に Cybernews の研究者たちは、世界中で 29,000以上の Elasticsearch/Apache Hadoop/MongoDB などのデータベースが依然としてアクセス可能であり、脅威アクターを含む誰もが、19,000 TB ほどのデータにアクセスできる状態にあることが発見された。

賢い選択

無料の VPN を利用すれば、匿名でのネット・サーフィンや、脅威からの保護、居住地域で制限されているコンテンツへのアクセスなどが可能になる。しかし、誤った VPN を選択すると、あなたのデータが第三者に販売されたり、邪魔な広告を送りつけられたりと、多くのトラブルに巻き込まれる可能性もある。

無料 VPN には、イライラするようなデータ制限/速度制限/機能不足/小規模なサーバー群/怪しげな行動などの、何らかの問題が生じる場合がある。そのため Cybernews では、Windows/Mac/Android/iOS/Linux などのプラットフォーム上の、最高の無料 VPN ソフトウェアのリストを作成した。VPN サービスを選ぶ際には、プロバイダのプライバシー・ポリシーや、ユーザーレビュー、機能、帯域幅の制限、スピードなどを調べる必要がある。公共 Wi-Fi を使用する際の匿名性を考えれば、無料 VPN を取得することに価値はある。

BeanVPN の、接続ログなど 18.5GB を取り込んだ、オープンなデータベースを発見されたとのことです。このデータセットには、機密情報が含まれるため、悪用されると深刻な事態に陥ることも予想されます。無料 VPN は、とても便利でしょうが、上記の Cybernews で慎重に選んでほしいと思います。Elasticsearch に関しては、6月1日に「Elasticsearch データベース 450件が攻撃されている:ランサムウェアなのか? ワイパーなのか?」という記事をポストしていますが、こうしたデータベースの適切な運用が求められますね。

%d bloggers like this: