据WizCase的Ata Hakcil 领导的网络研究团队,刚刚在一款名叫QuickFox的免费翻墙回国软件中发现重大的安全漏洞,泄漏暴露了用户的各种个人身份信息 (PII),包括姓名、电话号码、设备上安装的其他软件等。无需密码或登录凭据即可查看此信息,并且数据未加密。
同时福州紫讯网络技术有限公司也是亚马逊运营工具“紫鸟数据魔方”的母公司。
泄漏是由不完整的 ELK 堆栈安全性引起的。ELK(Elasticsearch、Logstash 和 Kibana)是三个开源程序,可简化对大型文件(例如 Quickfox 等在线服务的日志)的搜索。Quickfox 已经从 Kibana 设置了访问限制,但没有为他们的 Elasticsearch 服务器设置相同的安全措施。这意味着任何拥有浏览器和互联网连接的人都可以访问 Quickfox 日志并提取有关 Quickfox 用户的敏感信息。
根据泄漏中发现的 IP 地址,它主要影响位于美国以及中国周边国家(包括日本、印度尼西亚和哈萨克斯坦)的用户。
泄漏暴露了大约 5 亿条记录,总计超过 100GB 的数据。信息主要包含两类数据。第一类是大约100万用户的个人信息。第二种类型是关于位于超过 30 万用户设备上的软件。找到的所有文件的日期都在 2021 年 6 月至 2021 年 9 月之间。
在这次泄漏中发现的 PII 包括客户的电子邮件、电话号码、识别设备类型的详细信息以及 MD5 散列密码。虽然密码被散列,但 MD5 是一种古老的散列技术,它使用户密码容易受到现代密码破解技术的影响。这足以让欺诈者进行网络钓鱼电子邮件、钓鱼电话和其他旨在获取更多敏感信息(如信用卡或银行详细信息)的行为。
泄漏不仅暴露了 VPN 分配给每个用户的 IP 地址,还暴露了用户连接到 VPN 服务的原始 IP 地址。
安全团队提醒用户在选择 VPN 提供商之前仔细审查它们,并需要了解免费服务可能会通过收集和使用客户数据而获利。虽然这是一款翻墙回国的软件,但由此可以推测一些用户翻墙的免费软件和付费翻墙工具或小机场对于记录用户的以上这些信息轻而易举的。以上暴露的信息中,还有一条值得思考,那就是用户上网记录(日志)还不确定其是否也被记录。
