Il est assez courant pour les utilisateurs de smartphones de rechercher des VPN gratuits qui leur permettent d’accéder à certains sites web interdits. Une étude récente de WizCase révèle qu’un service VPN gratuit expose les informations personnelles de millions d’utilisateurs. Selon l’étude, Quickfox, un service VPN gratuit que les utilisateurs utilisent pour accéder aux sites web chinois depuis l’extérieur de la Chine, a divulgué les informations personnelles de millions d’utilisateurs. Les informations divulguées comprennent des noms, des numéros de contact, des logiciels sur les appareils des utilisateurs, et plus encore. Selon WizCase, Quickfox expose les données de millions d’utilisateurs et il n’est pas nécessaire d’avoir des informations de connexion pour voir ces données. De plus, ces données ne sont même pas cryptées et sont donc très exposées.
Les utilisateurs les plus touchés par cette fuite sont des personnes originaires des États-Unis, de Chine, du Japon, d’Indonésie et du Kazakhstan. Cependant, cette fuite révèle surtout des informations sur les utilisateurs chinois qui restent en dehors de la Chine. Bien sûr, ces personnes voudront obtenir des informations sur des sites Web chinois. Comme certains sites chinois ne sont accessibles que depuis la Chine, ce VPN devient utile. Cependant, ce rapport montre que le service VPN n’est pas sûr.
Quickfox est totalement gratuit – sa source de revenus est discutable
Fuzhou Zixun Network Technology Co., Ltd. est propriétaire de Quickfox, et une sécurité incomplète de la pile ELK (Elasticsearch, Logstash et Kibana) est à l’origine de la fuite. Quickfox n’a pas de restrictions d’accès pour son serveur Elasticsearch. Il est donc possible pour quiconque d’accéder aux journaux de Quickfox et d’extraire des informations sensibles sur les utilisateurs de Quickfox.
Vous trouverez ci-dessous une liste d’informations révélées par Quickfox et ces informations ont été exposées entre juin 2021 et septembre 2021.
- Nom
- Numéro de téléphone
- Mots de passe hachés MD5 (avec des techniques spéciales, les mots de passe directs sont vulnérables)
- Détails du type d’appareil
- L’adresse IP attribuée à un utilisateur
- Adresse IP d’origine de l’utilisateur
- Logiciels dans l’appareil des utilisateurs
- Emplacements des fichiers
- Date d’installation du logiciel
- Numéro de version du logiciel
Il est intéressant de noter que la plupart des informations ci-dessus ne sont pas pertinentes pour les services VPN. Ainsi, il est suspect que Quickfox collecte ces informations. De plus, les conditions d’utilisation ou la confidentialité de Quickfox ne sont pas disponibles. On ne sait pas si ces utilisateurs savent ou non que le service VPN collecte ces informations.
Cette fuite rend les utilisateurs vulnérables au phishing, à la fraude, aux escroqueries, aux fuites de mots de passe, aux prises de contrôle de comptes, etc. Pour l’instant, il n’y a aucun commentaire officiel de Quickfox concernant ce rapport. WizCase a contacté Quickfox mais il n’y a pas de réponse pour le moment. Il est important de faire une recherche rapide sur un service VPN avant de l’utiliser. Tout service a besoin d’un moyen de gagner de l’argent. Ainsi, si le service est entièrement gratuit, vous devez être plus prudent.
