保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 51
ストーリー by nagazou
利用者は確認を 部門より
利用者は確認を 部門より
あるAnonymous Coward 曰く、
VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある(Digital Trends)。
各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。
これらのVPNサービスは異なる企業によって提供されていたものの、アプリの配布元はすべて同一の香港の会社だった。また支払いに関してはDreamfii HKという企業だったという共通点があった。さらに各サイトは同じIPアドレスで似たデザインになっていることから、同一提供者によるホワイトラベルだったのではないかとvpnMentorでは予想している。
それぞれのVPNサービスのアプリ名をアプリストアで見てみると、iOS版やGoogle Playでも日本語のレビューが見られることから、日本でも利用者が結構いた可能性があるようだ。利用していた方はパスワード変えるなど対策が必要だろう。
今回データが流出したのは以下のサービス
- UFO VPN
- FAST VPN
- Free VPN
- Super VPN
- Flash VPN
- Secure VPN
- Rabbit VPN
ウェブブラウジングのログも漏洩している (スコア:5, 参考になる)
なぜ一番大事なことをタレコミに書かないのか。
VPNアカウントの個人情報を保管しておくのは課金の関係上仕方がないが、ウェブ利用活動までなぜかログとして保管していたのがそっくり漏れているから本格的にヤバイんだよ。
Re:ウェブブラウジングのログも漏洩している (スコア:5, 参考になる)
ネタ元サイトによると、ブラウジングログに加えて、口座名義人支払人の氏名、住所、接続元IP、ログイン認証情報(メール、ユーザー名、パスワード)が漏れているうんだよね。ほんと、一番大事なことを何で書かないのだか。
これによって同サイトでは、フィッシング詐欺の他に、「恥ずかしい可能性のあるアクティビティを友人、家族、同僚、場合によっては政府や警察にさらすぞ」と言った恐喝、さらには、これらの情報が今後ダークウェブに残っていったり、公然と共有されたりした場合には、多くのVPNユーザーが利用する)イランやスーダンなどの暴力的な政府による実際の逮捕・拘留・投獄が懸念されるとしている。
同サイトに掲載されていたpornhub利用者の漏洩例(イスラム圏からの「違法な接続」)
https://www.vpnmentor.com/wp-content/uploads/2020/07/vpn-porniran.png [vpnmentor.com]
Re:ウェブブラウジングのログも漏洩している (スコア:1, すばらしい洞察)
どれがネトウヨの書き込みで、どれが常識人が諌めているのかがわからない。
Re: (スコア:0)
常識的な人はネトウヨっていう意味がフワっとしたよくわからない言葉は使いませんよ。
Re: (スコア:0)
???
Re: (スコア:0)
会話でも何でもない、書きたい単語を反射的に並べてるだけだから
Re: (スコア:0)
レスバトル [nicovideo.jp]は知ってるかい?
サービス名が色々なのは、VPNサービスのリセーラーなんじゃないかなあ (スコア:2)
ログは取らないっていっても、会員情報と支払い情報と、
接続時間情報は残してないと商売にならないし。
VPNの通信の中身は分からないんだから、
いいんじゃないのー。
#パスワードが平文だって。
Re:サービス名が色々なのは、VPNサービスのリセーラーなんじゃないかなあ (スコア:4, 参考になる)
タレコミ文中にある「ホワイトラベル」ってのがリセラーって意味ですよ
ホワイトラベル、つまり製造元は製品名とか会社名の欄を白紙(ホワイト)にして事業者に販売、それを仕入れた事業者がラベルに名前を書き込んで顧客に販売、って意味です
Re:サービス名が色々なのは、VPNサービスのリセーラーなんじゃないかなあ (スコア:1)
ホワイトラベルはブランド名の入っていないOEM品のこと。
それを買って自分のブランドをつけて売るのがリセラー。
「ホワイトラベル業者」といえば一般的にはリセラーではなくOEM品を供給する側を指す。
セットで出てくる言葉だけど、だからこそ区別できないと混乱するよ。
Re: (スコア:0)
で、セットで出てくるんだから、「ホワイトラベルなんじゃないか」という話をしていたら、
そこにリセラーがいるってのは当然の話なんだから、
「リセーラーなんじゃないかなあ」と言い出すのも変な話だ。
Re: (スコア:0)
ノーブラ
Re: (スコア:0)
//ホワイトやブラックはセンシティブな言葉なので、今後はブランクラベルにしなさいって怒られそう
//オフトピ
Re: (スコア:0)
ブランクは差別用語なので、今後は…
Re:サービス名が色々なのは、VPNサービスのリセーラーなんじゃないかなあ (スコア:1)
接続元の記録は仕方がないにしても、接続先の記録はまずいでしょ。
Re: (スコア:0)
確かにこれを「保存されないはずの個人情報」というのはちょっとという感じ。これはログとは言わんだろ。
日本のVPN事情 (スコア:1)
日本だと加入世帯が1200万件にものぼるフレッツ光で、自宅VPNを構築可能なんだから、こういう怪しげなVPNサービスをわざわざ使う必要度は低そうに思えるが、そうでもないのかなぁ。
ちなみに自宅VPNは、フレッツ光のONU兼ブロードバンドルーターの設定画面でVPNサーバー機能を有効にするだけで超簡単。フレッツだとIPv6の固定IPも漏れなく発行されるので、接続点でIPv6が利用可能なら、昔のようにダイナミックDNSも不要。
Re:日本のVPN事情 (スコア:3, 参考になる)
なんかVPNという単語で勘違いしてないですかね。
自宅とかプライベートネットワークに繋ぐためのVPNという技術の話ではないです。
中国からGoogleに繋げないから、外部VPNを経由でGoogleに接続するとかいった類の話です。
そのためのVPNのサーバやネットワークを利用することを、"VPNアプリ"とか"VPNサービス"と呼んでます。
制限の少ない日本ではあまり話題にならないけど、政治的に制限の強い国ではこういうVPNアプリは一般的です。
だから接続先情報が漏れたことが大問題になります。
Re: (スコア:0)
だな。
技術的にはSocksプロキシだったりするけど、こういう規制回避用のシステムもVPNと呼ばれている。
中国語では翻墙(壁越え、ぐらいの意味)と言うらしい。
ラズパイ買って WireGuard と V2Ray を入れているのでAC
Re: (スコア:0)
この類のVPNとして、筑波大にこんなプロジェクト [vpngate.net]がある。
テレワークでも有名な登大遊氏が管理者。
Re:日本のVPN事情 (スコア:1)
個人的に欠点・不満に思うのは
・IPoEと排他になる事
・事前共有キーをユーザが設定出来ないこと
・現在どのVPNユーザが接続しているか分からないこと(分かりにくいだけ?)
くらいかな?
ネット噂ではHGWのメーカ・機種によって
「性能(速度、同時接続数)が大きく違う。不安定。」
らしいので運が悪いと安定して運用できるまでてこずるかもしれませんが
#DDNSの導入の方が面倒かも
Re:日本のVPN事情 (スコア:1)
フレッツ光同士なら、網内折り返しでインターネットを経由しないVPNが簡単にできる。
ソフトイーサがDDNSやってるから、結構手軽に構築できる。
Re: (スコア:0)
これに代わるサービスを日本のプロバイダは提供していないかな?
Re: (スコア:0)
Re: (スコア:0)
ネット規制に真っ先に手を挙げるような業者の回線だと、出先⇔自宅間でVPNしてもそこから先があかんやん。
Re: (スコア:0)
出先と自宅、自宅と勤務先をつなぐVPNの話じゃなくて、
昔で言うところの匿名串的に使うって話だからお漏らしが大変ってことでは?
しらんけど。
Re: (スコア:0)
大企業はプライバシーを守っているとか思ってない?
アメリカのGAFAM
中国の百度と抖音と微信
日本のメールでサーバー間暗号化しない、ガラケーでTLS1.2の採用が遅すぎるドコモとソフトバンクとエーユー
大企業も信用できない
Re: (スコア:0)
・取得と流出
・リアルタイムに取るのと、ため込んだデータの放出
・放出先
全部一緒くたにしても無意味だよ。詭弁だ。
香港?dreamfii.comのMXレコードは、 (スコア:1)
mxbiz1/2.qq.com (テンセントQQのドメイン)で、思いっきり中国資本じゃないか。
#テンセントQQ自体は、香港証券取引所に上場はしている。
けど、上記MXは、いずれも中国国内深セン市にあり、
mxbiz1はテンセントのデータセンター、mxbiz2はChina Unicom Shenzen networkを用いている。
で、Microsoftもミスった ElasticSearch Server をデータストレージとして
VPN同士で共用してたって、漏洩させる気満々だよな。
Re: (スコア:0)
Internet Archiveを見ると、
https://web.archive.org/web/20190510152128/http://www.dreamfii.com/ [archive.org]
PureBabeというエロ壁紙アプリが出てくる
https://appsonwindows.com/apk/4096934/ [appsonwindows.com]
なんだろうね〜
こういうVPNサービスは日本でも使いますよ (スコア:1)
Re: (スコア:0)
この手のVPNサービスしてる業者の広告に言えよ。
プロトコル制限やIPアドレス範囲の制限を回避する目的でも使えるけど、それを主眼に売ってるわけではない。
定められた中共本国への報告フォーマットでは? (スコア:0)
だから違う企業でも同フォーマットになる。
# 邪推の指摘は許容する。
Re: (スコア:0)
結局中国とちょっとでも関連ありそうなものは使うなってことで。
代替品は何があるのん?
Re:定められた中共本国への報告フォーマットでは? (スコア:1)
ちょうどMozilla VPNが正式サービスになったばかり
Re: (スコア:0)
OperaもVPNやってたはず
Re: (スコア:0)
Operaは今中国企業傘下ですけど…
Re: (スコア:0)
https://gigazine.net/news/20200120-opera-loan-app/ [gigazine.net]
買収した企業真っ黒…
Re: (スコア:0)
1.1.1.1をVPN替わりに使うとか。
ただしCloudflare使ってるサイトではIPアドレスが出る(5chが例)
アクセスキーをリセットしないとIPアドレスも変わらないので、定期的にリセットする必要あり。
Re: (スコア:0)
Pornohub のVPNかな?
VPNhub [vpnhub.com]
Re: (スコア:0)
VPNサーバーくらい自分で立てたら?
既出だけど (スコア:0)
by Anonymous Coward on 2020年07月21日 21時58分 (#3856496)
なんかVPNという単語で勘違いしてないですかね。
自宅とかプライベートネットワークに繋ぐためのVPNという技術の話ではないです。
中国からGoogleに繋げないから、外部VPNを経由でGoogleに接続するとかいった類の話です。
そのためのVPNのサーバやネットワークを利用することを、"VPNアプリ"とか"VPNサービス"と呼んでます。
制限の少ない日本ではあまり話題にならないけど、政治的に制限の強い国ではこういうVPNアプリは一般的です。
だから接
Re: (スコア:0)
普通に考えて、使いたい国に属するVPS借りて、その上でVPNサービスを走らせるのが一般人の嗜みでしょうが。
Re: (スコア:0)
今の情勢絡みでリークしたのかなとも思いましたよ
#逃げろ的な
安全に通信したいはずなのに (スコア:0)
なぜ得体の知れない第三者を頼るのか。
本末転倒過ぎる。
Re: (スコア:0)
だよな。
信じるわけないわな。
Re: (スコア:0)
今月のおすすめVPN!!!
みたいな記事とか、アプリのレビューで釣られたんじゃないかな?
Re: (スコア:0)
今居るネットワークでは任意プロトコルで通信できない、
アクセス元IPアドレスを変更したい、とかならわからんでもない。
でも基本は公衆WiFiよりリスキーよな……