Une base de données contenant plus de 360 millions d'enregistrements d'utilisateurs de SuperVPN a été trouvée en accès public sur le Web, révélant des informations confidentielles telles que des adresses e-mail et des données de géolocalisation. Cette fuite met en évidence les risques liés à l'utilisation de services VPN.

Une base de données contenant plus de 360 millions d'enregistrements provenant d'utilisateurs de SuperVPN a été découverte en accès public sur le Web, sans protection par un mot de passe. L'expert en sécurité Jeremiah Fowler a été le premier à détecter cette fuite massive de données confidentielles. Les enregistrements divulgués comprennent des adresses e-mail et d'autres informations sensibles, totalisant une quantité impressionnante de 133 Go de données.

SuperVPN est un programme client populaire qui peut être téléchargé gratuitement depuis les magasins Google et Apple. Il existe deux variantes de SuperVPN disponibles, développées respectivement par Qingdao Leyou Hudong Network Technology et SuperSoft Tech. Les deux entreprises ont des logos similaires. Les statistiques de Google Play indiquent que les deux versions combinées de SuperVPN ont été téléchargées plus de 100 millions de fois.

Des données personnelles, par millions !

Le propriétaire de la base de données divulguée est probablement Qingdao Leyou Hudong, mais il a été également envoyé des avertissements aux deux sociétés associées au service SuperVPN. L'accès général à la base de données a finalement été fermé, mais aucune réponse de la part des responsables n'a été envoyée.

Lors de son examen de la base de données, il a été constater que les informations exposées comprenaient des adresses e-mail, des requêtes IP source, des données de géolocalisation, des informations sur les serveurs SuperVPN utilisés, des clés cryptographiques privées, des ID utilisateur d'application unique, des UUID, des modèles d'appareils utilisateurs, des systèmes d'exploitation, des types de connexion Internet, des versions du client VPN, des demandes de remboursement et des liens vers des sites visités par les utilisateurs.

1 entreprise, 6 filiales ?

De plus, il y avait des e-mails occasionnels adressés au service client de Storm VPN, Luna VPN, Radar VPN, Rocket VPN et Ghost VPN. Bien qu'il ne soit pas certain que tous ces services appartiennent au même propriétaire, il est possible qu'ils soient liés d'une manière ou d'une autre. Il est important de souligner que cette fuite de données n'est pas la première du genre pour SuperVPN, car des cas similaires se sont produits en 2020 et 2021.

Cette nouvelle fuite de données met en évidence les risques potentiels liés à l'utilisation de services VPN non fiables et non sécurisés. Les utilisateurs doivent être conscients des menaces de sécurité et prendre des mesures pour protéger leurs informations personnelles en choisissant des services VPN réputés et en mettant en place des mesures de sécurité adéquates.

Le service veille ZATAZ a pu repérer, en 1 an, pas moins de 27 fuites concernant des sociétés et services de VPN de part le monde. N'hésitez pas à passer notre service pour vous rassurer de ne pas être dans ce type de fuite !