Se ha descubierto que tres servicios populares de VPN filtran información privada del usuario, que si se explota podría utilizarse para identificar a los usuarios. El informe, revela varias vulnerabilidades en Hotspot, Shield, Zenmate y PureVPN, todas las cuales prometen brindar privacidad a sus usuarios.
El trabajo de una VPN, o red privada virtual, es canalizar el tráfico de Internet y navegar por el usuario a través de otros servidores, dificultando que otros identifiquen a los usuarios y escuchen a escondidas sus hábitos de navegación. Las VPN son populares en partes del mundo donde el acceso a internet está restringido o censurado. A menudo, el tráfico se cifra para que los proveedores de Internet, e incluso los servicios de VPN, no tengan acceso. Pero la investigación revela errores que pueden filtrar direcciones IP del mundo real, que en algunos casos pueden identificar a usuarios individuales y determinar la ubicación de un usuario.
En el caso de Hotspot Shield, tres errores separados en cómo la extensión de Chrome de la compañía maneja scripts de autoconfiguración de proxy, utilizados para dirigir el tráfico a los lugares correctos, filtraron direcciones IP y DNS, lo que socava la efectividad de los servicios de privacidad y anonimato. Otro error podría haber permitido a un atacante secuestrar y redirigir el tráfico web a un servidor proxy, según la investigación. Un atacante podría engañar a un usuario para que haga clic en un enlace con parámetros maliciosos, y todo el tráfico irá al servidor del atacante. AnchorFree, que hace Hotspot Shield, solucionó los errores y señaló que sus aplicaciones móviles y de escritorio no se vieron afectadas por los errores.
Los investigadores también informaron errores de fuga de IP similares a Zenmate y PureVPN. Un vocero de PureVPN dijo en un correo electrónico que la compañía había reparado los errores una semana antes.
El informe fue escrito por tres investigadores: Paulos Yibelo, quien también encontró una filtración de información similar en Hotspot Shield el mes pasado; otro investigador pseudónimo utiliza File Descriptor, y el tercero, que quiere mantener su identidad en privado.
