CyberNewsによると、合わせて2,100万人ぶんのデータが含まれる3つのデータベースが、よく知られたハッカーフォーラムで販売されていることが明らかになりました(英語記事)。これらは、Android向けVPNアプリのSuperVPN、GeckoVPN、ChatVPNから流出したものです。この記事を執筆している時点では、Google PlayでのSuperVPNのダウンロード数は1億以上、GeckoVPNは100万以上、ChatVPNは5万以上です。
販売されているデータベースには、メールアドレスとパスワード(SuperVPNとGeckoVPNではハッシュ化されていてChatVPNでは平文)のほか、利用者の氏名、所在国、支払い関連の情報も含まれています。このうち一つのデータベースには、さらにデバイスのシリアル番号とIDが含まれています。利用者のIPアドレスは漏洩しませんでした。
データの売り手は、これらVPNプロバイダーのサーバーに既定のユーザー名とパスワードでアクセス可能になっていた設定エラーがあり、それを利用したと述べています。
SuperVPNが不適切な理由でメディアに取り上げられるのは、今回が初めてではありません。2020年7月には、VPNMentorのリサーチャーが、SuperVPNを含むVPNプロバイダー数社から1.2TBのログが流出しているのを発見しました(英語記事)。GeckoVPNとChatVPNに関しては、少なくとも当社や世間一般が認識している範囲では、今回が初めてです。なお、情報漏洩関連の情報サイトである「Have I Been Pwned?」も、今回のインシデントを認識しています(リンク先は英語)。
仮想プライベートネットワーク(Virtual Private Network:VPN)は、安全なインターネット利用の基盤となる技術ですが、保護の強度はVPNサービスによってばらつきがあります。信頼性、そして利用者の安全とプライバシーへの配慮という点を念頭に、適切なVPNを選ぶポイントをまとめていますので参考になさってください。