وجد باحثون في أمن المعلومات نقاط ضعف حرجة في ثلاث شركات توفر خدمات VPN شهيرة يمكن أن تسرّب عناوين IP الحقيقية للمستخدمين وغيرها من البيانات الحساسة.
اولا اذا كنت لا تعرف VPN فيها اختصار الى Virtual Private Network فيها افضل طريقة لتشفير بياناتك المتصلة بالانترنت و اخفاء هويتك لتعزيز أمن اتصالك بالانترنت.
الكثير يستخدم خدمة VPN لأغراض اهمها اخفاء الهوية والامان على الانترنت. حيث يتم إخفاء عنوان IP الحقيقي الخاصة بهم لتجاوز الرقابة على الإنترنت والوصول إلى مواقع الويب المحظورة من قِبل مزودي خدمة الإنترنت. ولكن ماذا يحدث عندما يكون الشيء الذي يخفي هويتك هيا من تسرب هويتك الحقيقية ؟
كشف فريق مكون من ثلاثة هاكرز اخلاقيين استعانت بهم الشركة المدافعة عن الخصوصية “VPN Mentor” ان.
ثلاثة من مزودي خدمة VPN وهيا:
- HotSpot Shield
- PureVPN
- Zenmate
مع ملايين العملاء حول العالم عرضة لكشف خصوصياتهم.
حيث ان شركة PureVPN كذبت ان ضمن سياستها لا يوجد ملف تسجيل للعملاء”‘no log’ policy” ولكنها قبل بضعة أشهر ساعدة مكتب التحقيقات الفيدرالية مع سجلات تؤدي إلى اعتقال رجل من ولاية ماساشوسيتس في قضية جريمة إلكترونية.
بعد سلسلة من اختبارات الخصوصية على شركات المزودة لخدمة VPN الثلاثة. وجد الفريق أن جميع خدمات VPN الثلاثة تسرب عناوين IP الحقيقية للمستخدمين. والتي يمكن استخدامها لتحديد المستخدمين الفعليين للخدمة.
فيما يتعلق بالخصوصية تصرح VPN Mentor بأنه يمكن للحكومات والمنظمات تحديد عناوين الايبي الحقيقية للمستخدمين حتى ان كان يستخدم خدمة VPN.
ايضاً عثر الفريق على ثلاث ثغرات منفصلة على AnchorFree’s HotSpot Shield والتي تم إصلاحها والثغرات هيا:
Hijack all traffic CVE-2018-7879
وهي ثغرة تسمح للهاكرز بإعادة توجيه المواقع التي يزورها الضحية الى مواقع ضارة عن بعد في متصفح chrome.
DNS leak CVE-2018-7878
كما هي ثغرة في نظام DNS تسمح لشركات مزودة خدمة الانترنت بمراقبة وتسجيل حركة الأنشطة عبر الانترنت للمتصفح.
Real IP Address leak CVE-2018-7880
هذه الثغرة تهدد الخصوصية للمستخدم حيث تمكن الهاكرز من تحديد الموقع الحقيقي وموفر خدمة الانترنت.
في النهاية هنا نوضح بأن الثغرات الثلاثة تواجدة على اجهزة الكمبيوتر و اضافة في متصفح chrome. وليس على تطبيقات الجوال او على انظمة اندرويد. حيث والثغرات متواجدة في الثلاثة الشركات ولم يتم انزال تفاصيل عنها حتى يكتمل اصلاحها ونشر تحديثات لها. ويعتقد الباحثون بأن الشركات الموفرة لخدمة VPN الاخرى قد تحتوي نفس المشكلة.