Sul dark web sono
in vendita le credenziali di oltre 21 milioni di utenti di app VPN mobile gratuite. È accaduto la scorsa settimana, quando non meglio precisato cyber criminale ha pubblicizzato la vendita online. Il bottino comprende indirizzi email, password, informazioni di pagamento e ID del dispositivo da cui sono stati sottratti i dati.
Presumibilmente il furto è avvenuto sottraendo le informazioni dalle app stesse, che in particolare sono tre: SuperVPN, GeckoVPN e ChatVPN. I rispettivi sviluppatori non hanno confermato l'ipotesi. Se fosse veritiera, si tratterebbe del più grave attacco contro il settore VPN in epoca recente. Nel 2019 si verificò un precedente, con una massiccia fuga di dati che comprendeva indirizzi email, password in chiaro, indirizzi IP, indirizzi home, modelli di telefono e ID dispositivo.
La beffa è che gli ignari utenti vittime del furto si erano affidati alle VPN proprio per tenere i propri dati al sicuro. Quanto accaduto quindi mina alla fiducia di questi servizi, che
nonostante le difficoltà sono ancora importanti nella situazione sanitaria in cui ci troviamo.
È da sottolineare che i servizi interessati
non sono ad uso aziendale. Si tratta in tutti i casi di VPN mobile, scaricate a titolo gratuito. Molti esperti di cyber security in epoca non sospetta hanno sconsigliato la scelta di servizi VPN "for free", perché non garantiscono il livello di sicurezza che ci si aspetta da un servizio nato per proteggere la privacy.
Come scegliere una VPN sicura
A seguito di questo grave data breach vale la pena riepilogare i criteri di scelta di una VPN da parte dei consumatori finali. È sconsigliato fare una ricerca nello store di riferimento e
scaricare un prodotto a caso. La VPN si usa per garantire riservatezza e protezione dei dati, per esempio quando si è agganciati a un Wi-Fi pubblico o quando si effettuano transazioni bancarie.
Affinché questi requisiti siano garantiti, occorrono delle verifiche. Innanzi tutto, selezionate le potenziali VPN da usare, è consigliato
leggere le recensioni attendibili di terze parti. Il secondo punto riguarda il buon senso: un servizio serio dispone di un
contatto di assistenza clienti. Se manca, meglio non fidarsi.
Se sono soddisfatti i primi due punti sarà bene provvedere alla lettura
dell'informativa sulla privacy. Non è una garanzia per l'effettiva protezione della privacy, ma è indicativo dell'approccio e della serietà dell'azienda produttrice. Se conoscete già l'azienda per altri prodotti è un buon punto di partenza: quasi tutti i produttori di cyber security offrono servizi VPN.
Dalla teoria alla pratica
Le tre VPN sopra menzionate sono disponibili sul Play Store di Google, su cui riscuotono una certa popolarità. In particolare, ChatVPN ha più di 50.000 installazioni, GeckoVPN supera i 10 milioni di installazioni e SuperVPN è la protagonista della scena con 100 milioni di installazioni attive. Alla luce di quanto accaduto, questo fa comprendere che
la popolarità di una VPN non è garanzia della sua affidabilità.
SuperVPN è stata recensita da una popolare testata giornalistica statunitense. Il redattore ha trovato vulnerabilità critiche tali da
indicare ai lettori di non installarla, e di cancellarla in caso fosse installata sui propri sistemi. Una seconda testata ha descritto la politica sulla privacy come inutile e contraddittoria.Seguendo le indicazioni che abbiamo dato sopra per la scelta della VPN, questo avrebbe dovuto bastare per scartare le candidate.
Chi non l'ha fatto ha avuto una brutta sorpresa, perché i suoi dati sono stati rubati, e l'attaccante non ha avuto nemmeno bisogno di ingegnarsi troppo: a quanto si apprende dalle fonti di stampa statunitensi, i dati sono stati prelevati da
database pubblicamente disponibili per i quali i programmatori hanno lasciate
invariate le credenziali predefinite. La strage della cyber security.