Sono più di 21 milioni le informazioni personali rubate agli utenti di alcune VPN gratuite. Il database che le conteneva è stato scoperto recentemente da CyberNews. Gravissimi i rischi per la privacy e la sicurezza.

La violazione ha interessato tre delle VPN più popolari su Android – SuperVPN (oltre 10.000.000 di installazioni su Google Play), GeckoVPN (oltre 10.000.000 di installazioni), and ChatVPN (oltre 50.000 di installazioni). La banca dati, datata 24 febbraio, è attualmente in vendita sul dark web a un prezzo sconosciuto.

La causa? Probabilmente la negligenza dei provider, che hanno registrato le informazioni degli utenti senza prendere precauzioni per tenerle al sicuro. Non solo hanno tenuto archiviati i dati degli utenti, hanno anche conservato le loro informazioni di accesso al server. Questo, ha reso estremamente facile l’accesso ad esterni.

Quanto è grave il danno?

Non è la prima volta che i fornitori di servizi VPN sono al centro di questo tipo di scandali.

Nel luglio del 2020, ad esempio, SuperVPN ha vissuto una situazione simile. Insomma, sembra che i provider non abbiano imparato la lezione e che non prendano misure ulteriori per garantire la sicurezza degli utenti.

Questa volta la violazione della privacy è stata peggiore e ha riguardato dati molto più sensibili. Come affermato dall’autore (anonimo) del post, il database rubato contiene:

• Indirizzi mail
• Nomi utenti (usernames)
• Nomi completi degli utenti
• Paese di provenienza degli utenti
• Stringhe di password casuali
• Informazioni di pagamento
• Stato dell’iscrizione e data di scadenza della stessa

Nonostante tutte rientrino nella sfera dei dati sensibili, sono le stringhe di password casuali a preoccupare maggiormente: possono essere legate ad account di Google Play, il che permetterebbe di accedere anche ad informazioni di tipo finanziario.

Inoltre, la banca dati contiene altri dati su:

• Gli ID dei dispositivi degli utenti e i loro numeri di serie
• Il numero di identificazione (IMSI) dei dispositivi
• I modelli di telefono e i loro produttori

Potenziali hacker potrebbero usarli per portare avanti attività pericolose, come i famosi attacchi “man-in-the-middle”, ottenendo così ancora più informazioni sui dispositivi degli utenti e le loro finanze.

Il dibattito sulla veridicità di quanto accaduto è ancora acceso, anche se gli esempi di dati nel post sembrano più che reali. Se così fosse, sarebbe un durissimo colpo per la credibilità dei fornitori di servizi VPN gratuiti, nonché un grave pericolo per più di 21 milioni di utenti.

E ora?

SuperVPN, GeckoVPN, e ChatVPN non hanno ancora rilasciato dichiarazioni in merito. Se fosse tutto vero, però, vorrebbe dire che i provider di VPN trattengono molte più informazioni di quelle che dichiarano.

Se hai usato queste (o altre) app VPN gratuite, ti consigliamo caldamente di:

1. Controllare se i tuoi dati personali sono ancora al sicuro;
2. Cambiare le tue password online, preferibilmente usando un generatore di password;
3. Disinstallare la VPN gratuita che hai ora e iscriverti a provider che possono garantirti più sicurezza online. 

È ormai chiaro che la privacy online non è un argomento da sottovalutare. I più grandi fornitori di servizi di VPN gratuite non sembrano essere in grado di garantirti la sicurezza di cui hai bisogno.

Prendi oggi le dovute precauzioni per non far rubare i tuoi dati personali domani.